0
0
Pelo menos 1 milhão de sites que são executados no WordPress foram infectados por uma campanha que usa uma série de vulnerabilidades de plug-in e tema do WordPress para injetar código malicioso em sites, incluindo um grande número de zero-days.
De acordo com uma pesquisa da Sucuri, a campanha, que a empresa apelidou de “Balada Injector”, não é apenas prolífica, mas também semelhante a Matusalém em sua longevidade, atingindo sites de vítimas com malware desde pelo menos 2017. Uma vez injetado no site, o código ruim redireciona os visitantes do site para uma panóplia de sites fraudulentos, incluindo suporte técnico falso, vitórias fraudulentas na loteria e notificações push pedindo soluções Captcha.
Nos bastidores, porém, os scripts injetados procuram vários arquivos que possam conter informações confidenciais ou potencialmente úteis, como arquivos de log de acesso, logs de erros, arquivos com informações de depuração, ferramentas de administração de banco de dados, credenciais de administrador e muito mais. Eles também carregam backdoors nos sites para acesso persistente e, em alguns casos, aquisição do site.
Enquanto a estatística de 1 milhão é o número de locais infectados coletivamente nos últimos cinco anos, os pesquisadores só recentemente vincularam toda a atividade em uma única operação. No futuro, a campanha não mostra sinais de desaceleração.
“Somente em 2022, nosso scanner de site externo SiteCheck detectou esse malware mais de 141.000 vezes, com mais de 67% dos sites com recursos bloqueados carregando scripts de domínios conhecidos do Balada Injector”, observaram os pesquisadores da Sucuri em um post no blog.
Um foco nas vulnerabilidades do WordPress Plug-in & Theme
A campanha Balada Injector tem algumas características instantaneamente reconhecíveis que permitiram que os pesquisadores da Sucuri reunissem toda a atividade observada sob um guarda-chuva de atribuição. Isso inclui fazer upload e deixar vários backdoors em todo o ambiente comprometido; usar uma lista rotativa de nomes de domínio em que scripts maliciosos são hospedados em subdomínios aleatórios; e os redirecionamentos de spam.
Mas talvez mais notavelmente, os operadores do Balada Injector fazem muito bom uso das vulnerabilidades de segurança nos plug-ins e temas do WordPress. Esses tipos de complementos modulares para o principal sistema de gerenciamento de conteúdo (CMS) do WordPress permitem que os administradores do site adicionem vários tipos de funcionalidades, como capacidade de sondagem, suporte a quadros de mensagens ou integração clique para chamar para equipamentos de comércio eletrônico.
“Todos os tipos de vulnerabilidades em temas e plugins do WordPress podem permitir que um invasor injete código ou obtenha acesso não autorizado ao site – o que pode eventualmente ser escalado para o nível em que as injeções de código são possíveis”, de acordo com a análise da Sucuri. “Durante todo esse tempo, a Balada Injector vem adicionando rapidamente vulnerabilidades recém-divulgadas (e às vezes não reveladas em dias zero), ocasionalmente iniciando ondas maciças de infecções dentro de algumas horas após as divulgações de vulnerabilidades”.
De fato, essa estratégia centrada em bugs dita a cadência dos ataques – a Sucuri tem rastreado novas ondas de atividade que ocorrem a cada duas semanas, com calmarias no meio que são “provavelmente utilizadas para coletar e testar vulnerabilidades recém-relatadas e de dia zero”.
Além disso, vulnerabilidades mais antigas também fazem parte da mistura, com algumas permanecendo em uso pela campanha por meses e anos após serem corrigidas.
Segmentando o ecossistema WordPress
O cenário do WordPress é um alvo popular para cibercriminosos de todos os tipos, ajudado pelo fato de que o ecossistema de plug-ins é notoriamente problemático.
“Dependendo de como você o mede, em 2023, o WordPress ainda alimenta 60% dos sites disponíveis na Internet hoje”, diz Casey Ellis, fundador e CTO da plataforma de recompensas de bugs Bugcrowd. “O grande volume de código que entra nisso, o grau de personalização frequentemente presente nos sites WordPress e, em geral, a complexidade, a popularidade e a falta de medidas e práticas de segurança consistentes do ecossistema de plug-ins do WordPress contribuem para sua atratividade para os cibercriminosos como um rico campo de caça para bugs exploráveis”.
A iThemes, uma empresa que rastreia as falhas do ecossistema de plug-ins semanalmente, contabilizou 37 vulnerabilidades de plug-in recém-divulgadas e corrigidas (e uma vulnerabilidade de tema) para a semana de 15 de março, afetando mais de 6 milhões de sites WordPress. Ele também contou 27 vulnerabilidades de plug-in (e três vulnerabilidades de tema) sem patch disponível ainda. E esses números significativos não são incomuns.
Ao todo, a iThemes identificou um total de 1.425 vulnerabilidades de plug-in e tema do WordPress divulgadas em 2022 – e em qualquer semana, 20 a 50 plug-ins e temas individuais experimentaram pelo menos uma vulnerabilidade, com uma média mensal de 121 plug-ins e temas individuais que tiveram pelo menos uma vulnerabilidade emergindo.
O relatório da iThemes também observou que plug-ins e temas vulneráveis do WordPress são a razão número 1 pela qual os sites WordPress são hackeados.
“O WordPress definitivamente precisa ser atualizado regularmente, ainda mais se você tem um site que tem muitos plug-ins e código de terceiros, e este é um dos muitos exemplos em que a segurança acaba sendo um pouco difícil demais para o usuário médio que também está tentando administrar um negócio”, observa Ellis.
Proteção contra a insegurança do plug-in do WordPress
A fim de proteger contra o Balada Injector e outras ameaças do WordPress, as organizações devem, em primeiro lugar, garantir que todo o software do seu site esteja atualizado, remover plug-ins e temas não utilizados e utilizar um firewall de aplicativo da Web.
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, explica que a capacidade de adicionar plug-ins facilmente ao WordPress a partir de lojas de download oficiais (muito parecido com o ecossistema de aplicativos móveis) aumenta a questão da segurança, portanto, a educação para a equipe da Web sobre os perigos da instalação de módulos não examinados também é uma obrigação.
“A miríade de plug-ins disponíveis, vários lugares para obtê-los e a facilidade de implantação – você tem uma receita para facilitar a distribuição de plug-ins maliciosos”, diz ele.
Mesmo as grandes organizações não estão imunes aos problemas de segurança do WordPress. “Há casos, mesmo em grandes empresas, em que um site é desenvolvido e mantido por um indivíduo ou pequena equipe”, diz ele. “Muitas vezes, essas pessoas não são especialmente conscientes da segurança e estão mais interessadas em manter seu site atualizado e atualizado do que em fazê-lo com segurança. Patches são perdidos. Os alertas de segurança são perdidos. Plug-ins novos e interessantes são instalados sem garantir que sejam seguros ou, às vezes, até funcionem.”
FONTE: DARK READING