Pesquisadores do Wordfence alertam para uma nova atividade maliciosa onde cibercriminosos estão explorando uma vulnerabilidade de zero dia em um plugin do WordPress chamado BackupBuddy.
Plugin BackupBuddy do WordPress sendo explorado por cibercriminosos
Na última terça-feira, a equipe do Wordfence Threat Intelligence foi informada de uma vulnerabilidade sendo explorada ativamente no plugin BackupBuddy WordPress.
Este plug-in permite que os usuários façam backup de uma instalação inteira do WordPress, incluindo arquivos de tema, páginas, postagens, widgets, usuários e arquivos de mídia.
A vulnerabilidade, rastreada como CVE-2022-31474 com pontuação CVSS: 7,5, pode ser explorada por um usuário não autenticado para baixar arquivos arbitrários do site afetado. Estima-se que o plugin tenha cerca de 140.000 instalações ativas.
Os pesquisadores do Wordfence determinaram que os agentes de ameaças começaram a explorar essa vulnerabilidade em estado selvagem em 26 de agosto de 2022.
A empresa de segurança também acrescentou que bloqueou 4.948.926 ataques que exploram essa vulnerabilidade desde então. Os invasores estavam tentando recuperar arquivos confidenciais, como /wp-config.php e /etc/passwd.
Versões do plugin afetadas pela vulnerabilidade
A vulnerabilidade afeta as versões 8.5.8.0 a 8.7.4.1 e foi corrigida com o lançamento da versão 8.7.5 em 2 de setembro de 2022. Então, você precisa realizar a atualização para não continuar vulnerável.
O plug-in permite armazenar arquivos de backup em vários locais (destinos), incluindo Google Drive, OneDrive e AWS. Ele também permite armazenar backups através da opção “Local Directory Copy”, mas especialistas descobriram que esse recurso não é seguro e permite que usuários não autenticados baixem qualquer arquivo armazenado no servidor.
De acordo com o relatório dos pesquisadores do Wordfence, “o plug-in registra um gancho admin_init para a função destinada a baixar arquivos de backup locais e a função em si não possui verificações de capacidade nem validação de nonce. Isso significa que a função pode ser acionada por meio de qualquer página administrativa, incluindo aquelas que podem ser chamadas sem autenticação (admin-post.php), possibilitando que usuários não autenticados chamem a função”.
Os pesquisadores disseram ainda que “O caminho de backup não é validado e, portanto, um arquivo arbitrário pode ser fornecido e posteriormente baixado”. Assim, como esta vulnerabilidade ser ativamente explorada e sua facilidade de exploração, estamos compartilhando detalhes mínimos sobre essa vulnerabilidade.
O Wordfence não compartilhou detalhes adicionais sobre a falha porque é fácil de explorar. No entanto, você precisa redobrar a segurança para não acabar sendo vítima desses atacantes. Verifique sempre se os plugins estão atualizados, para evitar maiores problemas.