Sites WordPress sob ataque de dia zero em plugins abandonados

.Os proprietários de sites do WordPress que usam o plug-in “Total Donations” são aconselhados a excluir o plug-in de seus servidores para impedir que hackers explorem uma vulnerabilidade não corrigida em seu código e invadam sites afetados.

Ataques usando este dia zero foram observados durante a semana passada por especialistas em segurança da Defiant, a empresa por trás do plugin de firewall Wordfence para o WordPress.

O dia zero afeta todas as versões do Total Donations, um plug-in comercial que os proprietários de sites compraram da CodeCanyon nos últimos anos e costumava reunir e gerenciar doações de suas respectivas bases de usuários.

De acordo com o pesquisador da Defiant, Mikey Veenstra, o código do plugin contém várias falhas de design que inerentemente expõem o plugin e o site WordPress, como um todo, à manipulação externa, mesmo de usuários não autenticados.

Em um alerta de segurança publicado na sexta-feira, Veenstra disse que o plug-in contém um endpoint AJAX que pode ser consultado por qualquer invasor remoto não autenticado.

O endpoint AJAX reside em um dos arquivos do plug-in, o que significa que desativar o plug-in não elimina a ameaça, pois os invasores podem simplesmente chamar esse arquivo diretamente e apenas remover o plug-in em sua totalidade salvaguardará os sites da exploração.

Esse endpoint AJAX permite que um invasor altere o valor da configuração principal de qualquer site WordPress, altere as configurações relacionadas a plug-ins, modifique a conta de destino das doações recebidas pelo plug-in e até recupere as listas de correspondência Mailchimp (que o plug-in também suporta como recurso secundário) .

Defiant diz que todas as tentativas de contato com o desenvolvedor do plugin foram infrutíferas. O site do desenvolvedor parece ter ficado inativo por volta de maio de 2018, e a listagem de produtos CodeCanyon do plug-in foi desativada quase ao mesmo tempo depois que inúmeros usuários relataram que não haviam recebido atualizações de plugins por vários bugs relatados.

O zeroday de Doações recebeu o identificador CVE-2019-6703. A Defiant disse que continuaria a rastrear os ataques em andamento para qualquer atividade digna de nota.

Sendo uma oferta comercial, não se espera que o plugin tenha uma enorme base de usuários. No entanto, o plug-in provavelmente está instalado em sites ativos com grandes userbases que poderiam ter fornecido um plug-in comercial e que também são alvos de alto valor para grupos de hackers.

Fonte ZDnet