Uma campanha de ciberataques em grande escala está a visar websites que utilizam a plataforma WordPress, explorando vulnerabilidades críticas e já corrigidas em dois plugins populares. A empresa de segurança Wordfence revela que bloqueou 8,7 milhões de tentativas de ataque em apenas dois dias, a 8 e 9 de outubro, demonstrando a intensidade da ameaça.
Os alvos são instalações que utilizam versões desatualizadas dos plugins "GutenKit" e "Hunk Companion". Os atacantes estão a explorar três falhas de segurança distintas, todas classificadas com um nível de gravidade crítico de 9.8 (numa escala de 10), que permitem a um atacante instalar qualquer plugin num site vulnerável sem necessidade de autenticação.
As vulnerabilidades exploradas
As falhas em questão permitem que os atacantes obtenham a capacidade de executar código remotamente (RCE), o que, na prática, lhes confere o controlo total sobre o website comprometido. As vulnerabilidades são:
CVE-2024-9234: Afeta o plugin GutenKit (com mais de 40.000 instalações ativas) na versão 2.1.0 e anteriores.
CVE-2024-9707: Impacta o plugin Hunk Companion (com 8.000 instalações) na versão 1.8.4 e anteriores.
CVE-2024-11972: Presente no Hunk Companion na versão 1.8.5 e anteriores.
Apesar de as correções para estas falhas terem sido disponibilizadas pelos criadores em outubro e dezembro de 2024, respetivamente, um grande número de administradores de sites ainda não efetuou as atualizações necessárias, deixando as suas plataformas expostas.
Como funciona o ataque
Os atacantes estão a usar as vulnerabilidades para instalar um plugin malicioso alojado no GitHub, designado como "up". Este pacote contém scripts ofuscados que criam uma porta de acesso (backdoor), permitindo aos criminosos carregar, descarregar ou apagar ficheiros, alterar permissões e até criar uma sessão de administrador para si próprios de forma automática.
Nos casos em que o acesso total não é imediatamente conseguido, os atacantes instalam um segundo plugin vulnerável, o ‘wp-query-console’, que serve como um degrau para alcançar a execução remota de código.
Como proteger o seu site WordPress
A medida mais urgente e eficaz é a atualização imediata dos plugins GutenKit e Hunk Companion para a versão mais recente disponibilizada pelos seus criadores.
Adicionalmente, os administradores de sistemas devem verificar os logs de acesso do servidor à procura de pedidos suspeitos para os seguintes endereços:
/wp-json/gutenkit/v1/install-active-plugin/wp-json/hc/v1/themehunk-import
É igualmente recomendado inspecionar o sistema de ficheiros do website para detetar a presença de diretórios maliciosos como /up, /background-image-cropper, /ultra-seo-processor-wp, /oke e /wp-query-console. A presença de qualquer um destes diretórios é um forte indicador de que o site foi comprometido.
Nenhum comentário
Seja o primeiro!