in

Campanha de hackers tem como alvo sites que executam o popular plugin Duplicator do WordPress

Especialistas em segurança estão alertando para uma nova onda de ataques visando uma vulnerabilidade no popular plugin Duplicator do WordPress.

Bug crítico do plugin WordPress Product Review Lite foi descoberto

Na semana passada, a equipe de desenvolvimento por trás do popular plugin Duplicator do WordPress abordou uma vulnerabilidade de dia zero que afetou pelo menos 1 milhão de sites.

Campanha de hackers tem como alvo plugin Duplicator do WordPress

Pesquisadores da empresa de segurança WordFence estão alertando para uma nova onda de ataques que tentam explorar a vulnerabilidade no popular plugin.

O plugin Duplicador permite que os usuários do WordPress migrem, copiem, movam ou clonem um site de um local para outro e também servem como um utilitário de backup simples. Além disso, o Duplicator possui mais de 15 milhões de downloads e está ativo em mais de 1 milhão de sites.

Os especialistas afirmam ter monitorado 60.000 tentativas de coletar informações confidenciais dos sites de destino, 50.000 delas ocorreram antes dos autores do plugin resolverem o problema.

Um post publicado pela WordFence diz:

Mais de um milhão de sites WordPress foram afetados por uma vulnerabilidade, permitindo que os invasores baixassem arquivos arbitrários dos sites das vítimas. Pedimos a todos os usuários do Duplicator que atualizem para a versão 1.3.28 o mais rápido possível.

Estamos detectando a exploração ativa dessa vulnerabilidade por aí e estimamos que mais de meio milhão de sites ainda estejam executando uma versão vulnerável.

Campanha de hackers tem como alvo sites que executam o popular plugin Duplicator do WordPress
O plugin Duplicador permite que os usuários do WordPress migrem, copiem, movam ou clonem um site de um local para outro e também servem como um utilitário de backup simples.

Atualize seus plugins!

A vulnerabilidade é uma arbitrária de download de arquivos, afeta o Duplicator anterior à versão 1.3.28 e o Duplicator Pro anterior à versão 3.8.7.1.

O problema pode ser explorado por um invasor remoto não autenticado, enviando uma solicitação especialmente criada para um site WordPress usando a versão vulnerável do plug-in do Duplicator.

Dessa forma, um invasor com algum conhecimento da estrutura do arquivo de destino pode baixar arquivos fora do diretório pretendido.

Portanto, a situação é muito preocupante em ambientes de hospedagem compartilhada porque um usuário em um servidor compartilhado pode acessar o banco de dados local de outro site no mesmo servidor.

A WordFence informou que quase todos os ataques que seus especialistas viram são originários do endereço IP 77.71.115.52. Ele pertence a um data center na Bulgária, de propriedade do Varna Data Center EOOD.

O mesmo servidor estava hospedando vários sites. Dessa maneira, sugere-se que o invasor pode estar fazendo os ataques por meio de um site comprometido. Além disso, especialistas acrescentaram que associaram o endereço IP a outras campanhas maliciosas que têm como alvo sites WordPress.

Por fim, a WordFence conclui:

A enorme base de instalação do Duplicator, combinada com a facilidade de explorar essa vulnerabilidade, torna essa falha um alvo notável para hackers. É crucial que os usuários do Duplicator atualizem seus plugins para a versão mais recente disponível o mais rápido possível para remover esse risco.

Fonte: Security Affairs

Escrito por Leonardo Santana

Profissional da área de manutenção e redes, astrônomo amador, eletrotécnico e apaixonado por TI desde o século passado.