Uma vulnerabilidade de execução remota de código no WordPress está sendo explorada ativamente por agentes maliciosos, colocando milhares de sites em risco imediato. ALERTA DE SEGURANÇA CRÍTICO! Pesquisadores confirmaram que o plugin Sneeit Framework contém uma falha grave que permite a invasores executar código arbitrário sem autenticação, resultando no controle total do site afetado. A exploração já ocorre em larga escala e não depende de interação do usuário.
Esse cenário se torna ainda mais preocupante quando analisado junto ao crescimento da botnet Frost, uma infraestrutura maliciosa que vem se expandindo por meio da exploração de outras vulnerabilidades críticas, como a CVE-2025-2611 no ICTBroadcast. O padrão observado indica campanhas coordenadas, com múltiplos vetores sendo explorados simultaneamente.
Neste artigo, analisamos em profundidade a CVE-2025-6389, explicamos como ocorre a exploração da falha de execução remota no WordPress via Sneeit Framework, detalhamos medidas imediatas de mitigação e contextualizamos as táticas avançadas da botnet Frost, reforçando a importância de resposta rápida e postura proativa em segurança cibernética.
Detalhes da vulnerabilidade de execução remota de código no WordPress (CVE-2025-6389)
A CVE-2025-6389 afeta o Sneeit Framework, um plugin utilizado como base estrutural por diversos temas e extensões do WordPress. A vulnerabilidade permite execução remota de código devido ao uso inseguro da função call_user_func() em conjunto com parâmetros controláveis pelo usuário.
Na prática, um invasor pode enviar uma requisição maliciosa para um endpoint exposto pelo plugin e fazer com que o servidor execute funções PHP arbitrárias. Essa falha não exige autenticação, o que caracteriza um dos cenários mais críticos em segurança de aplicações web.
Com pontuação CVSS 9.8, a vulnerabilidade representa risco máximo, permitindo comprometimento completo do site, acesso ao banco de dados, manipulação de arquivos e uso do servidor para atividades maliciosas adicionais.
Análise técnica da falha de execução remota no Sneeit Framework
O problema técnico central está no tratamento inadequado de entradas externas. O Sneeit Framework permite que valores enviados via requisição HTTP sejam usados diretamente como referência para chamadas de função, sem validação ou restrição adequada.
A função call_user_func(), quando utilizada sem controles rigorosos, possibilita que qualquer função disponível no escopo do PHP seja executada. Em ambientes WordPress, isso inclui funções sensíveis que interagem com o sistema de arquivos, gerenciamento de usuários e execução de comandos no servidor.
Essa combinação transforma a falha em um vetor altamente eficiente para ataques automatizados, facilitando campanhas de exploração em massa contra sites que não aplicaram as correções.
Impactos práticos da exploração da vulnerabilidade
Uma vez explorada a falha de execução remota de código no WordPress, o atacante obtém controle quase total do ambiente. Entre os impactos observados estão a criação de usuários administradores maliciosos, a modificação de arquivos centrais do WordPress e a instalação de backdoors persistentes.
Em diversos casos, foram identificadas contas administrativas com nomes aleatórios, como “arudikadis”, criadas para garantir acesso contínuo ao painel mesmo após tentativas de correção. Esse método dificulta a identificação rápida do comprometimento.
Além disso, o acesso obtido permite utilizar o site como base para outras atividades criminosas, incluindo hospedagem de malware, campanhas de phishing e participação em botnets distribuídas.
Mitigação imediata da falha no plugin Sneeit
A medida mais urgente é atualizar o Sneeit Framework para a versão 8.4 ou superior, onde os desenvolvedores corrigiram o uso inseguro de funções dinâmicas. Permanecer em versões vulneráveis significa exposição direta a exploração ativa.
Caso a atualização não seja possível no curto prazo, recomenda-se desativar completamente o plugin, eliminando temporariamente o vetor de ataque. Também é essencial revisar todos os usuários administrativos, remover contas suspeitas e verificar a integridade dos arquivos do site.
O uso de firewalls de aplicação web, monitoramento contínuo de logs e ferramentas de varredura de malware ajuda a identificar tentativas de exploração e atividades pós-comprometimento.
Vetores de ataque observados em ambientes reais
As campanhas atuais demonstram elevado nível de automação. Scanners identificam rapidamente sites WordPress com o Sneeit Framework vulnerável, testando se a execução remota de código é possível em poucos segundos.
Após a confirmação, scripts realizam ações encadeadas, criação de usuários, upload de arquivos maliciosos e ajustes em permissões para garantir persistência. A velocidade do processo reduz significativamente o tempo disponível para resposta manual.
Os endereços IP utilizados variam constantemente, indicando o uso de infraestruturas distribuídas e dificultando estratégias simples de bloqueio por reputação.
Web shells e persistência via .htaccess
Uma técnica recorrente nesses ataques é a instalação de web shells, arquivos PHP minimalistas que permitem execução remota de comandos. Exemplos observados incluem xL.php e simple.php, frequentemente ocultos em diretórios legítimos.
Além disso, atacantes manipulam o arquivo .htaccess para ocultar arquivos, redirecionar tráfego ou restaurar automaticamente o acesso caso algum componente malicioso seja removido. Isso aumenta significativamente a persistência do comprometimento.
Essas práticas demonstram que a exploração da vulnerabilidade não é oportunista, mas parte de campanhas planejadas para manter acesso prolongado.
Ameaça complementar: botnet Frost e a falha no ICTBroadcast
Paralelamente aos ataques contra sites WordPress, a botnet Frost vem explorando a CVE-2025-2611 no ICTBroadcast, uma plataforma amplamente utilizada para automação de comunicações. Essa falha também permite execução remota de código, sendo usada para instalar o binário malicioso conhecido como frost.
Embora não esteja diretamente relacionada ao WordPress, essa exploração mostra um padrão semelhante, abusar de vulnerabilidades críticas para ampliar rapidamente a infraestrutura de ataque. Isso indica operações coordenadas e alto nível de organização.
A diversidade de sistemas comprometidos aumenta a resiliência da botnet e dificulta ações de mitigação em larga escala.
Táticas avançadas da botnet Frost
A botnet Frost se diferencia por adotar uma lógica de propagação seletiva. Antes de explorar um alvo, o malware verifica arquitetura, sistema operacional e serviços expostos, reduzindo falhas de infecção e aumentando a eficiência.
Após a infecção, os sistemas passam a responder a comandos centralizados, com foco principal em ataques DDoS de alta intensidade, capazes de derrubar serviços críticos em poucos minutos.
Essa sofisticação reflete a evolução das botnets modernas, que priorizam persistência, precisão e impacto real.
Conclusão: resposta rápida é indispensável
A exploração de uma vulnerabilidade de execução remota de código no WordPress, combinada com o avanço da botnet Frost, evidencia um cenário de ameaça real, ativa e altamente perigosa. Falhas críticas com exploração confirmada exigem ação imediata.
Atualizar plugins, desativar componentes vulneráveis e monitorar continuamente o ambiente deixou de ser opcional. A velocidade da resposta é hoje um dos principais fatores para reduzir impacto e evitar comprometimentos duradouros.
A mensagem final é clara e urgente: aplique as correções agora, revise seu ambiente e trate a segurança como um processo contínuo. Em um cenário de ameaças profissionais, a inércia custa caro.
