AMP WP e RGPD compromete sites em Wordpress 🖥️🔓

AMP WP e RGPD compromete sites em Wordpress 🖥️🔓

Categoria : Segurança Visitas: 174 Tempo de Leitura: 4 Minutos

Duas vulnerabilidades encontradas no Wordpress, durante o mês de novembro, podem ter comprometido milhares de sites. Uma dessas falhas de segurança está relacionada com um plugin de conformidade com o RGPD (Regime Geral de Proteção de Dados); a outra, com um plugin usado para criar páginas que carregam mais rapidamente.

Neste último caso, a vulnerabilidade permitia aos hackers injetarem código HTML malicioso na página principal – e não havia um processo de validação que permitisse que apenas os administradores do site pudessem fazer alterações na main page, como colocar banners de publicidade.

A nova versão do plugin já resolveu este problema; no entanto, os sites que ainda estiverem a correr a versão desatualizada ainda correm o risco de ver as suas páginas invadidas por utilizadores sem privilégios, que podem ainda assim injetar código malicioso ou anúncios não desejáveis, minar scripts e espalhar malware.

Falhas de segurança comprometeram websites do Wordpress

Já a outra falha grave de segurança foi detetada num plugin relacionado com o RGPD, tendo sido aproveitada por atacantes para controlar sites vulneráveis. A notícia foi avançada no blog da Defiant, criadora do plugin de segurança Wordfence para o Wordpress.

Os utilizadores de websites feitos em Wordpress foram aconselhados a fazer o update para a mais recente versão do plugin, que reparou o problema, ou então a remover a versão anterior.

Duas formas de exploração

Aparentemente, os hackers usaram dois métodos distintos para explorarem as vulnerabilidades. Uma delas, envolvia a modificação das definições de registo de utilizadores. A outra, era injetar ações maliciosas, que eram agendadas e executadas através do WP-Cron.

Uma das formas mais comuns de tentativa de ataque utilizando esta fragilidade terá sido a modificação arbitrária das definições, nos sites afetados. Ao permitir o registo de novos utilizadores e alterando o seu papel predefinido para administrador, os atacantes puderam simplesmente criar novos users com privilégios, fazer login e levar a cabo todas as ações que quisessem no website comprometido.

Vulnerabilidades foram exploradas pelos atacantes

Existe ainda outro ataque, menos visível e mais difícil de identificar à primeira vista: injetando ações maliciosas no WP-Cron do site, os hackers puderam instalar uma backdoor muito persistente, que se auto-renegerava mesmo depois de ser removida.

Enquanto que uma grande variedade de atos maliciosos foram executados por esta via, outros tinham como base um outro famoso plugin do WordPress, o WooCommerce.

Qual o objetivo dos ataques?

Na maior parte das infeções, haverá um ou mais método que trazem algum benefício ao atacante. Quer seja através do envio de spam, alojamento de um esquema de phishing ou outra forma direta ou indireta de monetização, há sempre um objetivo claro identificado na triagem.

No entanto, apesar da rápida atuação na identificação destes casos, até agora só se chegou a scripts em backdoors de sites afetados por estes ataques. Não foi encontrado nenhum benefício direto para os hackers. E isto pode significar algumas coisas: é possível que os atacantes tenham, deliberadamente, atacado websites em massa para os venderem a outro hacker; eles podem também ter o seu próprio propósito, mais ainda não avançaram para uma segunda fase do processo de ataque.

Em qualquer dos casos, os sites infetados devem imediatamente trabalhar no sentido de identificar e remover quaisquer ameaças.

Indicadores de Ameaça

De seguida, vamos mostrar-lhe uma série de IOCs (Indicators of Compromise, ou Indicadores de Ameaça), que pode ser usada para identificar e fazer uma triagem aos casos similares a estes de que falamos. Não se esqueça que qualquer método usual pode ser alterado por um hacker e usado em qualquer altura, especialmente porque há um aumento de hackers a explorar estas vulnerabilidades.

IP mais usados:

  • Admin Creation Method

109.234.39.250

109.234.37.214

  • Cron Injection Method

46.39.65.176

195.123.213.91


Domínio de acesso

  • pornmam.com


Malware Hash

  • Admin Creation Method Backdoor

MD5: b6eba59622630b18235ba2d0ce4fcb65   SHA1: 577293e035cce3083f2fc68f684e014bf100faf3

  • Cron Injection Method Backdoor

MD5: c62180f0d626d92e29e83778605dd8be SHA1: 83d9688605a948943b05df5c548bea6e1a7fe8da


Indicadores na base de dados

  • Presença de contas sem autorização na base de utilizadores do website, incluindo os seguintes exemplos: t2trollherten e t3trollherten
  • Uma entrada nas opções do seu website com uma option_name que comece com 2mb_autocode (se não for usada propositadamente)
  • A opção default_role ativa para algo mais que “subscrever”, a não ser que tenha sido intencional
  • A opção users_can_register permitida sem intenção


Plugins instalados

  • 2MB Autocode (se não foi intencionalmente)

Novos ataques de hackers são esperados num futuro próximo

Conclusão

Esperamos que os detalhes que aqui revelamos possam ser usados para detetar e prevenir estes ataques. No entanto, os hacks podem ser alterados e afetar várias áreas diferentes de um website.

Tendo em conta que esta vulnerabilidade já foi descoberta e corrigida, é expectável que novos, únicos e sofisticados métodos de ataque surjam nos próximos tempos. Como sempre, é fundamental manter os plugins atualizados para prevenir que situações deste tipo possam prejudicar as empresas ou entidades. 

Tags:
web
segurança
cibersecurity
security
hacker
ataque

Catarina Sousa's Posts

Catarina Sousa

A former journalist on newspapers and TV, now publicist and creative mind at her own agency. Passionate about writing, creating ads and watch Law & Order. Married, mom of two adorable cats.

Gostou do nosso Blog? Subscreva já!

Não se preocupe, nós tambem não gostamos de spam! Iremos apenas enviar os nossos artigos de Blog ou notícias importantes. Poderá ler a nossa Política de Privacidade e Termos e Condições, e poderá remover a sua subscrição a qualquer momento

Comentários

Artigos Relacionados

Dados de 500 milhões de hóspedes da Marriot roubados 🕵️
Categoria : Segurança  Catarina Sousa PostsCatarina Sousa
Dados de 500 milhões de hóspedes da Marriot roubados 🕵️

Na passada sexta-feira, a cadeia de hotéis Marriot revelou que um ataque cibernético em grande esc...

1 semana atrás | Visitas: 358 | Leitura: 6 Minutos

Ler mais..
Vende mobiliário? Conheça 5 truques infalíveis de marketing digital 🛋️🛌
Categoria : Marketing  Catarina Sousa PostsCatarina Sousa
Vende mobiliário? Conheça 5 truques infalíveis de marketing digital 🛋️🛌

Sim, o seu negócio de venda de móveis pode estar a correr bem, mas você nunca deve ser aquele tip...

3 semanas atrás | Visitas: 389 | Leitura: 5 Minutos

Ler mais..
Hey Google, será a voz o futuro da pesquisa? 🗣️
Categoria : Geral  Catarina Sousa PostsCatarina Sousa
Hey Google, será a voz o futuro da pesquisa? 🗣️

Imagine que está no seu escritório, a trabalhar num projeto, e pensa em comer qualquer coisa. Se e...

1 mês atrás | Visitas: 578 | Leitura: 4 Minutos

Ler mais..