0
0
A equipe de segurança do WordPress deu um passo raro na semana passada e usou um recurso interno menos conhecido para empurrar à força uma atualização de segurança para um plugin popular.
Os sites do WordPress que executam o plugin loginizer foram atualizados à força esta semana para a versão 1.6.4 do Loginizer.
Esta versão continha uma correção de segurança para um bug perigoso de injeção SQL que poderia ter permitido que hackers assumissem sites wordpress executando versões mais antigas do plugin loginizer.
Loginizer é um dos plugins WordPress mais populares da atualidade, com uma base instalada de mais de um milhão de sites.
O plugin fornece melhorias de segurança para a página de login do WordPress. De acordo com sua descrição oficial, o Loginizer pode colocar na lista negra ou no endereço IP da lista branca acessando a página de login do WordPress, pode adicionar suporte para autenticação de dois fatores ou pode adicionar CAPTCHAs simples para bloquear tentativas de login automatizadas, entre muitos outros recursos.
INJEÇÃO SQL DESCOBERTA EM LOGINIZER
Esta semana, o pesquisador de segurança Slavco Mihajloski divulgou uma grave vulnerabilidade no plugin loginizer.
De acordo com uma descrição fornecida pelo banco de dados de vulnerabilidades WPScan WordPress, o bug de segurança reside no mecanismo de proteção de força bruta do Loginizer, ativado por padrão para todos os sites onde o Loginizer está instalado.
Para explorar esse bug, um invasor pode tentar entrar em um site do WordPress usando um nome de usuário wordpress malformado no qual eles podem incluir instruções SQL.
Quando a autenticação falhar, o plugin loginizer gravará essa tentativa fracassada no banco de dados do site WordPress, juntamente com o nome de usuário com falha.
Mas, como slavco e WPScan explicam, o plugin não higieniza o nome de usuário e deixa as instruções SQL intactas, permitindo que atacantes remotos executem códigos contra o banco de dados WordPress — no que os pesquisadores de segurança chamam de um ataque de injeção SQL não autenticado.
“Ele permite que qualquer invasor não autenticado comprometa completamente um site do WordPress”, disse Ryan Dewhurst, fundador e CEO da WPScan, em um e-mail hoje.
Dewhurst também apontou que Mihajloski forneceu um roteiro simples de prova de conceito em uma escrita detalhada publicada hoje cedo.
“Isso permite que qualquer pessoa com algumas habilidades básicas de linha de comando comprometa completamente um site do WordPress”, disse Dewhurst.
ATUALIZAÇÃO FORÇADA DE PLUGIN RECEBE REAÇÃO PÚBLICA
O bug é um dos piores problemas de segurança descobertos nos plugins do WordPress nos últimos anos, e é por isso que a equipe de segurança do WordPress parece ter decidido empurrar à força o patch Loginizer 1.6.4 para todos os sites afetados.
Dewhurst disse à ZDNet que esse recurso de “atualização forçada de plugin” está presente na base de código do WordPress desde v3.7, lançado em 2013; no entanto, ele tem usado muito raramente.
“Uma vulnerabilidade que eu mesmo descobri no popular plugin Yoast SEO WordPress em 2015 foi atualizada à força. Embora, o que eu descobri não fosse tão perigoso quanto o descoberto dentro do plugin Loginizer WordPress”, disse Dewhurst.
“Não estou ciente de nenhum outro [caso de atualizações forçadas de plugin], mas é muito provável que tenha havido outros”, acrescentou o fundador do WPScan.
Mas há uma razão pela qual a equipe de segurança do WordPress não usa esse recurso para todas as vulnerabilidades do plugin e usa isso apenas para os bugs ruins.
Assim que o patch Loginizer 1.6.4 começou a chegar aos sites do WordPress na semana passada, os usuários começaram a reclamar no fórum do plugin no repositório WordPress.org.
“O loginizer foi atualizado de 1.6.3 para 1.6.4 automaticamente, embora eu não tivesse ativado essa nova opção WordPress. Como é possível?”, perguntou um usuário descontente.
“Eu tenho a mesma pergunta também. Aconteceu em 3 sites que eu cuido, dos quais nenhum deles foi definido para atualização automática”, disse outro.
Feedback negativo semelhante também foi visto em 2015, quando Dewhurst viu pela primeira vez o recurso de atualização forçada do plugin sendo implantado pela equipe do WordPress.https://platform.twitter.com/embed/index.html?creatorScreenName=ZDNet&dnt=false&embedId=twitter-widget-0&frame=false&hideCard=false&hideThread=false&id=576014984641130496&lang=en&origin=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Fwordpress-deploys-forced-security-update-for-dangerous-bug-in-popular-plugin%2F&siteScreenName=ZDNet&theme=light&widgetsVersion=ed20a2b%3A1601588405575&width=550px
Dewhurst acredita que o recurso não é mais amplamente usado porque a equipe do WordPress teme os “riscos de empurrar um patch quebrado para tantos usuários”.
O desenvolvedor principal do WordPress, Samuel Wood, disse esta semana que o recurso foi usado “muitas vezes“, mas não forneceu detalhes sobre outros casos em que foi usado. Em 2015, outro desenvolvedor do WordPress disse que o recurso de atualização forçada do plugin foi usado apenas cinco vezes desde que foi lançado em 2013, confirmando que esse recurso é usado apenas para bugs críticos, aqueles que afetam milhões de sites e não apenas qualquer vulnerabilidade de plugin.
FONTE: ZDNET