Cibercriminosos começaram a atacar uma vulnerabilidade de gravidade crítica no plugin WP Automatic para WordPress. O objetivo é criar contas de usuário com privilégios administrativos e plantar backdoors para acesso de longo prazo. Atualmente instalado em mais de 30.000 sites, o WP Automatic permite que os administradores automatizem a importação de conteúdo (por exemplo, texto, imagens, vídeo) de várias fontes online e a publicação em seu site WordPress.
Plugin WP Automatic do WordPress
A vulnerabilidade explorada no plugin do WordPress, é identificada como CVE-2024-27956 e recebeu uma pontuação de gravidade de 9,9/10. Ela foi divulgado publicamente por pesquisadores do serviço de mitigação de vulnerabilidade PatchStack em 13 de março e descrito como um problema de injeção de SQL que afeta as versões do WP Automatic anteriores a 3.9.2.0.
O problema está no mecanismo de autenticação do usuário do plugin, que pode ser contornado para enviar consultas SQL ao banco de dados do site. Os cibercriminsos podem usar consultas especialmente criadas para criar contas de administrador no site de destino.
Mais de 5,5 milhões de tentativas de ataque
Desde que o PatchStack divulgou o problema de segurança, o WPScan da Automattic (Via: Bleepping Computer) observou mais de 5,5 milhões de ataques tentando aproveitar a vulnerabilidade, a maioria deles registrada em 31 de março. O WPScan relata que, após obter acesso de administrador ao site alvo, os invasores criam backdoors e ofuscam o código para torná-lo mais difícil de ser encontrado. “Depois que um site WordPress é comprometido, os invasores garantem a longevidade de seu acesso criando backdoors e ofuscando o código”, diz o relatório do WPScan.
Para evitar que outros hackers comprometam o site explorando o mesmo problema e para evitar a detecção, os hackers também renomearam o arquivo vulnerável como “csv.php”. Depois de obter o controle do site, o agente da ameaça geralmente instala plug-ins adicionais que permitem o upload de arquivos e a edição de código.
O WPScan fornece um conjunto de indicadores de comprometimento que podem ajudar os administradores a determinar se seu site foi hackeado. Os administradores podem verificar sinais de que hackers assumiram o controle do site, procurando a presença de uma conta de administrador começando com “xtw” e arquivos chamados web.php e index.php , que são os backdoors plantados na campanha recente.
Para mitigar o risco de violação, os pesquisadores recomendam que os administradores do site WordPress atualizem o plugin WP Automatic para a versão 3.92.1 ou posterior. O WPScan também recomenda que os proprietários de sites criem backups frequentes de seus sites para que possam instalar cópias limpas rapidamente em caso de comprometimento.