Na semana passada, a equipe de desenvolvimento por trás do popular plugin Duplicator do WordPress abordou uma vulnerabilidade de dia zero que afetou pelo menos 1 milhão de sites.
Campanha de hackers tem como alvo plugin Duplicator do WordPress
Pesquisadores da empresa de segurança WordFence estão alertando para uma nova onda de ataques que tentam explorar a vulnerabilidade no popular plugin.
O plugin Duplicador permite que os usuários do WordPress migrem, copiem, movam ou clonem um site de um local para outro e também servem como um utilitário de backup simples. Além disso, o Duplicator possui mais de 15 milhões de downloads e está ativo em mais de 1 milhão de sites.
Os especialistas afirmam ter monitorado 60.000 tentativas de coletar informações confidenciais dos sites de destino, 50.000 delas ocorreram antes dos autores do plugin resolverem o problema.
Um post publicado pela WordFence diz:
Mais de um milhão de sites WordPress foram afetados por uma vulnerabilidade, permitindo que os invasores baixassem arquivos arbitrários dos sites das vítimas. Pedimos a todos os usuários do Duplicator que atualizem para a versão 1.3.28 o mais rápido possível.
Estamos detectando a exploração ativa dessa vulnerabilidade por aí e estimamos que mais de meio milhão de sites ainda estejam executando uma versão vulnerável.
Atualize seus plugins!
A vulnerabilidade é uma arbitrária de download de arquivos, afeta o Duplicator anterior à versão 1.3.28 e o Duplicator Pro anterior à versão 3.8.7.1.
O problema pode ser explorado por um invasor remoto não autenticado, enviando uma solicitação especialmente criada para um site WordPress usando a versão vulnerável do plug-in do Duplicator.
Dessa forma, um invasor com algum conhecimento da estrutura do arquivo de destino pode baixar arquivos fora do diretório pretendido.
Portanto, a situação é muito preocupante em ambientes de hospedagem compartilhada porque um usuário em um servidor compartilhado pode acessar o banco de dados local de outro site no mesmo servidor.
A WordFence informou que quase todos os ataques que seus especialistas viram são originários do endereço IP 77.71.115.52. Ele pertence a um data center na Bulgária, de propriedade do Varna Data Center EOOD.
O mesmo servidor estava hospedando vários sites. Dessa maneira, sugere-se que o invasor pode estar fazendo os ataques por meio de um site comprometido. Além disso, especialistas acrescentaram que associaram o endereço IP a outras campanhas maliciosas que têm como alvo sites WordPress.
Por fim, a WordFence conclui:
A enorme base de instalação do Duplicator, combinada com a facilidade de explorar essa vulnerabilidade, torna essa falha um alvo notável para hackers. É crucial que os usuários do Duplicator atualizem seus plugins para a versão mais recente disponível o mais rápido possível para remover esse risco.
Fonte: Security Affairs