Os invasores exploram a vulnerabilidade do plug-in WordPress de dia zero no BackupBuddy

Os invasores estão explorando ativamente uma vulnerabilidade crítica no BackupBuddy, um plug-in do WordPress que cerca de 140,000 sites usam para fazer backup de suas instalações.

A vulnerabilidade permite que invasores leiam e baixem arquivos arbitrários de sites afetados, incluindo aqueles que contêm informações de configuração e dados confidenciais, como senhas, que podem ser usados ​​para maior comprometimento.

O fornecedor de segurança WordPress Wordfence relatou ter observado ataques direcionados à falha a partir de 26 de agosto e disse que bloqueou quase 5 milhões de ataques desde então. O desenvolvedor do plug-in, iThemes, lançou um patch para a falha em 2 de setembro, mais de uma semana após o início dos ataques. Isso levanta a possibilidade de que pelo menos alguns sites WordPress que usam o software tenham sido comprometidos antes que uma correção para a vulnerabilidade fosse disponibilizada.

Um bug de passagem de diretório

Em um comunicado em seu site, o iThemes descreveu a vulnerabilidade de passagem de diretório como afetando sites que executam BackupBuddy versões 8.5.8.0 a 8.7.4.1. Ele pediu aos usuários do plug-in que atualizassem imediatamente para o BackupBuddy versão 8.75, mesmo que não estejam usando uma versão vulnerável do plug-in.

“Esta vulnerabilidade pode permitir que um invasor visualize o conteúdo de qualquer arquivo em seu servidor que possa ser lido pela instalação do WordPress”, alertou o fabricante do plug-in.

Os alertas do iThemes forneceram orientação sobre como os operadores do site podem determinar se seu site foi comprometido e as etapas que podem ser tomadas para restaurar a segurança. Essas medidas incluíram a redefinição da senha do banco de dados, alterando sua Sais WordPresse rotação de chaves de API e outros segredos no arquivo de configuração do site.

O Wordfence disse ter visto invasores usando a falha para tentar recuperar “arquivos confidenciais, como o arquivo /wp-config.php e /etc/passwd, que podem ser usados ​​para comprometer ainda mais a vítima”.

Segurança do plug-in WordPress: um problema endêmico

A falha BackupBuddy é apenas uma entre milhares de falhas que foram divulgadas em ambientes WordPress — quase todas envolvendo plug-ins — nos últimos anos.

Em um relatório no início deste ano, a iThemes disse que identificou um total de 1,628 vulnerabilidades do WordPress divulgadas em 2021 — e mais de 97% deles impactaram plug-ins. Quase metade (47.1%) foi classificada como de gravidade alta a crítica. E preocupantemente, 23.2% dos plug-ins vulneráveis ​​não tinham solução conhecida.

Uma rápida verificação do National Vulnerability Database (NVD) da Dark Reading mostrou que várias dezenas de vulnerabilidades que afetam sites WordPress foram divulgadas até agora apenas na primeira semana de setembro.

Plug-ins vulneráveis ​​não são a única preocupação dos sites WordPress; plug-ins maliciosos são outro problema. Um estudo em larga escala de mais de 400,000 sites conduzido por pesquisadores do Instituto de Tecnologia da Geórgia descobriu um surpreendentes 47,337 plug-ins maliciosos instalado em 24,931 sites, a maioria deles ainda ativos.

Sounil Yu, CISO da JupiterOne, diz que os riscos inerentes aos ambientes WordPress são como aqueles presentes em qualquer ambiente que utiliza plug-ins, integrações e aplicativos de terceiros para estender a funcionalidade.

“Tal como acontece com os smartphones, esses componentes de terceiros ampliam as capacidades do produto principal, mas também são problemáticos para as equipes de segurança porque aumentam significativamente a superfície de ataque do produto principal”, explica ele, acrescentando que a verificação desses produtos também é um desafio. devido ao seu grande número e à falta de proveniência clara.

“As equipes de segurança têm abordagens rudimentares, na maioria das vezes dando uma olhada superficial no que chamo de três Ps: popularidade, propósito e permissões”, observa Yu. “Semelhante às lojas de aplicativos gerenciadas pela Apple e pelo Google, mais verificações precisam ser feitas pelos mercados para garantir que [plug-ins, integrações e aplicativos de terceiros] maliciosos não criem problemas para seus clientes”, observa ele.

Outro problema é que enquanto WordPress é amplamente utilizado, muitas vezes é gerenciado por profissionais de marketing ou web design e não por profissionais de TI ou segurança, diz Bud Broomhead, CEO da Viakoo.

“A instalação é fácil e a remoção é uma reflexão tardia ou nunca feita”, disse Broomhead ao Dark Reading. “Assim como a superfície de ataque mudou para IoT/OT/ICS, os agentes de ameaças visam sistemas não gerenciados pela TI, especialmente aqueles que são amplamente usados ​​como o WordPress.”

Broomhead acrescenta: “Mesmo com o WordPress emitindo alertas sobre plug-ins como vulnerabilidades, outras prioridades além da segurança podem atrasar a remoção de plug-ins maliciosos”.