Mais: WordPress e File Manager
Especialistas relataram que os agentes de ameaças estão cada vez mais visando uma vulnerabilidade recentemente resolvida no Gerenciador de arquivos do plugin do WordPress.
Pesquisadores da empresa de segurança do WordPress Defiant observaram um aumento no número de ataques direcionados a uma vulnerabilidade corrigida recentemente no gerenciador de arquivos do plugin do WordPress .
No início de setembro, especialistas relataram que hackers estavam explorando ativamente uma vulnerabilidade crítica de execução remota de código no plugin File Manager WordPress que poderia ser explorada por invasores não autenticados para fazer upload de scripts e executar código arbitrário em sites WordPress executando versões vulneráveis do plugin.
O plugin File Manager permite que os usuários gerenciem facilmente arquivos diretamente do WordPress, ele está atualmente instalado em mais de 700.000 sites WordPress.
A vulnerabilidade foi descoberta pela primeira vez por Gonzalo Cruz da Arsys. O pesquisador também confirmou que os agentes da ameaça já estão explorando a falha para enviar arquivos PHP maliciosos para sites vulneráveis.
A vulnerabilidade afeta todas as versões entre 6.0 e 6.8 do popular plugin.
Os desenvolvedores do plugin corrigiram rapidamente a vulnerabilidade com o lançamento das versões 6.9.
Cruz compartilhou suas descobertas com a empresa de segurança WordPress Wordfence e forneceu-lhe uma prova funcional de exploit para a falha. A empresa de segurança confirmou o ataque em andamento, seu firewall de aplicativo da Web bloqueou mais de 450.000 tentativas de exploração durante os últimos dias.
“O firewall Wordfence bloqueou mais de 450.000 tentativas de exploração visando esta vulnerabilidade nos últimos dias. Estamos vendo invasores tentando injetar arquivos aleatórios, todos os quais parecem começar com a palavra “hard” ou “x” ”, disse Wordfence .
“De acordo com nossos dados de ataque de firewall, parece que os invasores podem estar investigando a vulnerabilidade com arquivos vazios e, se forem bem-sucedidos, podem tentar injetar um arquivo malicioso. Aqui está uma lista de alguns dos arquivos que vemos carregados:
- hardfork.php
- hardfind.php
- x.php ”
Os especialistas do Wordfence revelaram que os agentes de ameaças estavam tentando fazer upload de arquivos PHP com webshells ocultos nas imagens para a pasta wp-content / plugins / wp-file-manager / lib / files /.
Agora, os pesquisadores do Wordfence revelam que alguns dias depois que a vulnerabilidade foi corrigida com o lançamento de um patch, vários agentes de ameaças começaram a ter como alvo instalações sem patch.
Mais de 1,7 milhão de sites foram alvos de hackers em poucos dias, e o número de ataques chegou a 2,6 milhões em 10 de setembro.
“Vimos evidências de vários agentes de ameaças participando desses ataques, incluindo pequenos esforços do agente de ameaças anteriormente responsável por atacar milhões de sites, mas dois invasores foram os mais bem-sucedidos na exploração de sites vulneráveis e, neste momento, ambos os atacantes estão protegendo com senha cópias vulneráveis do arquivo connector.minimal.php ”, diz a análise publicada pelo Wordfence.
De acordo com os especialistas, o primeiro ator de ameaça observado tendo como alvo a vulnerabilidade em escala é o atacante marroquino que fica online com o apelido de “bajatax”. Os atores da ameaça modificam o arquivo conector.minimal.php vulnerável para evitar novos ataques, ele foi observado adicionando código para exfiltrar credenciais do usuário usando a API do mensageiro do Telegram. Os invasores adicionaram o código malicioso ao arquivo user.php principal do WordPress e, se o WooCommerce estiver instalado, mais dois arquivos serão modificados para roubar as credenciais do usuário.
Os especialistas também observaram um segundo ator de ameaça visando sites vulneráveis e protegendo o arquivo connector.minimal.php com uma senha para evitar outras infecções. Este ator de ameaça está usando uma senha consistente em todas as infecções.
O invasor inseriu duas cópias do backdoor, com nomes de arquivos aleatórios terminando em _index.php, no site infectado, uma no webroot e a outra em uma pasta gravável aleatória do site. O invasor usa backdoors para modificar os arquivos principais do WordPress para adicionar criptominadores e spam de SEO aos sites vulneráveis.
Os especialistas monitoraram ataques originados de mais de 370.000 endereços IP separados, quase sem sobreposições entre os endereços IPs envolvidos nos ataques associados aos dois invasores mais ativos.
“Se você ou alguém que você conhece teve uma versão vulnerável do plug-in do Gerenciador de Arquivos instalada, recomendamos que você verifique se há malware em seu site usando uma solução de segurança como o Wordfence.” conclui o post. “Se o seu site foi comprometido pelo ator de ameaça“ bajatax ”, é fundamental que você limpe completamente o seu site antes de entrar em contato com todos os seus usuários e avisá-los de que suas credenciais podem ter sido comprometidas, especialmente se você estiver executando um e-commerce local.”
Fonte: https://securityaffairs.co/wordpress/108174/hacking/wordpress-file-manager-attacks.html
