Campanha de hackers tem como alvo sites que executam o popular plugin Duplicator do WordPress

Temas e plug-ins pirateados são a ameaça mais difundida para sites WordPress
wordpress

Na semana passada, a equipe de desenvolvimento por trás do popular plugin Duplicator do WordPress abordou uma vulnerabilidade de dia zero que afetou pelo menos 1 milhão de sites.

Campanha de hackers tem como alvo plugin Duplicator do WordPress

Pesquisadores da empresa de segurança WordFence estão alertando para uma nova onda de ataques que tentam explorar a vulnerabilidade no popular plugin.

O plugin Duplicador permite que os usuários do WordPress migrem, copiem, movam ou clonem um site de um local para outro e também servem como um utilitário de backup simples. Além disso, o Duplicator possui mais de 15 milhões de downloads e está ativo em mais de 1 milhão de sites.

Os especialistas afirmam ter monitorado 60.000 tentativas de coletar informações confidenciais dos sites de destino, 50.000 delas ocorreram antes dos autores do plugin resolverem o problema.

Um post publicado pela WordFence diz:

Mais de um milhão de sites WordPress foram afetados por uma vulnerabilidade, permitindo que os invasores baixassem arquivos arbitrários dos sites das vítimas. Pedimos a todos os usuários do Duplicator que atualizem para a versão 1.3.28 o mais rápido possível.

Estamos detectando a exploração ativa dessa vulnerabilidade por aí e estimamos que mais de meio milhão de sites ainda estejam executando uma versão vulnerável.

Campanha de hackers tem como alvo sites que executam o popular plugin Duplicator do WordPress
O plugin Duplicador permite que os usuários do WordPress migrem, copiem, movam ou clonem um site de um local para outro e também servem como um utilitário de backup simples.

Atualize seus plugins!

A vulnerabilidade é uma arbitrária de download de arquivos, afeta o Duplicator anterior à versão 1.3.28 e o Duplicator Pro anterior à versão 3.8.7.1.

O problema pode ser explorado por um invasor remoto não autenticado, enviando uma solicitação especialmente criada para um site WordPress usando a versão vulnerável do plug-in do Duplicator.

Dessa forma, um invasor com algum conhecimento da estrutura do arquivo de destino pode baixar arquivos fora do diretório pretendido.

Portanto, a situação é muito preocupante em ambientes de hospedagem compartilhada porque um usuário em um servidor compartilhado pode acessar o banco de dados local de outro site no mesmo servidor.

A WordFence informou que quase todos os ataques que seus especialistas viram são originários do endereço IP 77.71.115.52. Ele pertence a um data center na Bulgária, de propriedade do Varna Data Center EOOD.

O mesmo servidor estava hospedando vários sites. Dessa maneira, sugere-se que o invasor pode estar fazendo os ataques por meio de um site comprometido. Além disso, especialistas acrescentaram que associaram o endereço IP a outras campanhas maliciosas que têm como alvo sites WordPress.

Por fim, a WordFence conclui:

A enorme base de instalação do Duplicator, combinada com a facilidade de explorar essa vulnerabilidade, torna essa falha um alvo notável para hackers. É crucial que os usuários do Duplicator atualizem seus plugins para a versão mais recente disponível o mais rápido possível para remover esse risco.

Fonte: Security Affairs