Zero-day no plugin SMTP do WordPress está sendo explorado por dois grupos hackers

Duas empresas de segurança cibernética que fornecem plugins de firewall para sites do WordPress detectaram ataques que abusam de uma vulnerabilidade de dia zero em um popular plug-in do WordPress.

Pelo menos dois grupos de hackers foram observados abusando do dia-zero para alterar as configurações do site, criar contas de administrador mal-intencionadas para usar como backdoors e, em seguida, sequestrar o tráfego dos sites invadidos.

PLUGIN DIA-ZERO EXPLORADO ANTES DO PATCH

O dia-zero abusado por esses dois grupos reside em ” Easy WP SMTP “, um plugin do WordPress com mais de 300.000 instalações ativas. O principal recurso do plug-in é permitir que os proprietários do site configurem as configurações SMTP dos e-mails de saída do servidor do site.

Ataques abusando deste dia zero foram vistos pela primeira vez na última sexta-feira, 15 de março, pela NinTechNet, a empresa por trás do Ninja Firewall para WordPress.

O problema foi relatado ao autor do plugin, que corrigiu o dia zero no domingo, 17 de março, com o lançamento da v1.3.9.1.

Os ataques não pararam, mas continuaram ao longo da semana, com os hackers tentando conquistar o maior número de sites possível antes de os proprietários aplicarem o patch.

COMO OS ATAQUES SE DESDOBRARAM

A Defiant, empresa de segurança cibernética que gerencia o firewall Wordfence WordPress, disse que continua a detectar ataques mesmo após o patch. Em um relatório publicado hoje, a empresa divulgou como os dois grupos de hackers operavam.

De acordo com a Defiant, os ataques exploraram um recurso de exportação / importação de configurações que foi adicionado ao plugin Easy WP SMTP na versão 1.3.9. Defiant disse que os hackers encontraram uma função que faz parte desse novo recurso de importação / exportação que permitiu modificar as configurações gerais de um site, não apenas aquelas relacionadas ao plug-in.

Os hackers verificam atualmente sites usando esse plug-in e modificam as configurações para permitir o registro de usuários, uma operação que muitos proprietários de sites do WordPress desativaram por motivos de segurança.

Durante os ataques iniciais detectados pela NinTechNet, os hackers modificaram a opção “wp_user_roles”, que controla as permissões da função “assinante” nos sites do WordPress, dando ao assinante as mesmas habilidades de uma conta de administrador.

Isso significa que os hackers registrariam novas contas que aparecessem como assinantes no banco de dados do site WordPress, mas na verdade tinham as permissões e habilidades de uma conta de administrador.

Nos ataques subsequentes detectados pela Defiant, os hackers mudaram seu modus operandi e começaram a modificar a configuração “default_role” em vez da “wp_user_roles”. Essa configuração controla o tipo de conta de usuários recém-registrados. Neste novo ataque, todas as contas criadas recentemente são contas de administrador.

Esta última rotina de ataque é agora a que os dois grupos de hackers usam, de acordo com a Defiant.

“Ambas as campanhas lançam seus ataques iniciais de forma idêntica, usando a prova de conceito (PoC) detalhada na divulgação original da vulnerabilidade do NinTechNet. Esses ataques combinam exatamente com a PoC, até a soma de verificação”, disse Mikey Veenstra, pesquisador de segurança da Defiant.

Mas é aí que as semelhanças entre os dois grupos terminam. Defiant disse que o primeiro dos dois grupos interrompe qualquer atividade depois de criar uma conta de administrador de backdoor em sites invadidos, enquanto o segundo grupo é muito mais agressivo.

Veenstra disse que este segundo grupo modifica os sites invadidos para redirecionar os visitantes para sites maliciosos, com o tema mais comum sendo sites de golpes de suporte técnico.

CORRIGINDO SITES VULNERÁVEIS

Todos os sites que usam o plugin Easy WP SMTP são aconselhados a atualizar para a versão mais recente, v1.3.9.1. Depois de atualizar o plug-in, tanto o NinTechNet quanto o Defiant recomendam a auditoria da seção de usuários de um site para contas recém-adicionadas – tanto nos níveis de assinante quanto de administrador.

Recomenda-se a atualização para a última versão do plug-in, uma vez que a empresa de segurança White Fir Design, que também publicou um relatório sobre esses ataques, também documentou outras falhas de segurança no mesmo plug-in que podem ser exploradas [ 1 , 2 , 3 , 4 ].

Em tudo isso, uma lista vai para a equipe moderadora do fórum do WordPress, que parece ter sido mais preocupada com os usuários do fórum usando o termo “dia zero” para descrever essa vulnerabilidade e os ataques em andamento.

A equipe de moderação do fórum WordPress tem uma longa história de censura e minimização de problemas de segurança e ataques, deixando os usuários de alguns plugins no escuro sobre vulnerabilidades não corrigidas e ataques contínuos, tópicos que algumas vezes são removidos dos fóruns do WP.

Um relatório publicado pela firma de segurança cibernética Sucuri revelou que 90% de todos os sistemas de gerenciamento de conteúdo hackeado (CMSes) são sites do WordPress.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.