Cibercriminosos estão explorando ativamente uma vulnerabilidade corrigida recentemente no plug-in WordPress Advanced Custom Fields aproximadamente 24 horas depois que uma exploração de prova de conceito (PoC) foi tornada pública.
A vulnerabilidade, rastreada como CVE-2023-30777, trata-se de uma falha de cross-site scripting (XSS) refletida de alta gravidade que permite que invasores não autenticados roubem informações confidenciais e aumentem seus privilégios em sites WordPress afetados.
A vulnerabilidade no plug-in WordPress Advanced Custom Fields
Essa vulnerabilidade foi descoberta pela empresa de segurança do site Patchstack em 2 de maio de 2023 e foi divulgada junto com uma exploração de prova de conceito em 5 de maio, um dia depois que o fornecedor do plug-in lançou uma atualização de segurança com a versão 6.1.6.
De acordo com o relatado pelo Akamai Security Intelligence Group (SIG), a partir de 6 de maio de 2023, eles observaram atividades significativas de varredura e exploração usando o código de amostra fornecido no artigo do Patchstack.
O Akamai SIG analisou os dados de ataque XSS e identificou ataques começando dentro de 24 horas após o exploit PoC ter se tornado público.
O que é particularmente interessante sobre isso é a consulta em si: o agente da ameaça copiou e usou o código de amostra Patchstack do artigo.
Considerando que mais de 1,4 milhão de sites que usam o plug-in WordPress Advanced Custom Fields afetado não foram atualizados para a versão mais recente, com base nas estatísticas do wordpress.org, os invasores têm uma superfície de ataque bastante grande para explorar.
Cibercriminosos usando a vulnerabilidade
A falha XSS requer o envolvimento de um usuário logado que tenha acesso ao plug-in para executar um código malicioso em seu navegador que dará aos invasores acesso privilegiado ao site. As varreduras maliciosas indicam que esse fator de mitigação não desanima os invasores que confiam que podem superá-lo por meio de truques básicos e engenharia social.
Além disso, a exploração funciona em configurações padrão das versões de plug-in afetadas, o que aumenta as chances de sucesso dos invasores sem exigir esforço extra. Os administradores do site WordPress que usam os plug-ins vulneráveis devem aplicar imediatamente o patch disponível para proteger contra atividades contínuas de verificação e exploração.
A ação recomendada é atualizar os plug-ins gratuitos e profissionais Advanced Custom Fields para a versão 5.12.6 (backported) e 6.1.6. Lembrem-se que, a cada nova atualização, alguma vulnerabilidade pode estar sendo corrigida. Então executem as atualizações assim que as empresas as lançarem, para que as vulnerabilidades não sejam exploradas.