Dois plugins bastante usados no WordPress — Infinite WP Client e WP Capsule —, possuíam falhas críticas em seu funcionamento, expondo sites onde um ou outro estejam instalados. As vulnerabilidades permitiam invasões de hackers, que podiam acessar o backend das respectivas páginas, segundo um relatório divulgado pela empresa WebArx Security.
A falha foi descoberta em 7 de janeiro de 2020 e, no dia seguinte, os desenvolvedores dos plugins citados lançaram versões atualizadas deles. Estima-se que 320 mil sites estavam sob risco de ataques — número esse que corresponde à soma da base de usuários de ambos os plugins.
Tanto o Infinite WP Client como o WP Capsule são plugins (recursos que você baixa para adicionar funções extras ao seu site) de login, permitindo que usuários do WordPress acessem suas contas em múltiplas instâncias da rede de gerenciamento de conteúdo para blogs mais popular do mundo.
Segundo a WebArx, o bug atua especificamente nas versões 1.9.4.5 e inferiores do Infinite WP Client, sendo categorizado como uma falha comum (CVVS de pontuação 9,8, ou “crítica”). “O problema reside na função ‘iwp_mmb_set_request’ localizada no arquivo ‘init.php’”. De acordo com a empresa, essa função é ativada se uma variável de um pedido de login está ou não vazia — quando a tentativa de invasão traz certos parâmetros, ela se encontra ocupada.
“Neste caso, a condição é que os parâmetros ‘iwp_action’ do ataque devem ser iguais ao parâmetro ‘readd_site’ ou ‘add_site’, já que ambos são ações que não possuem uma checagem de autorização instalada. A falta deste recurso é o motivo pelo qual esse problema existe”, comentou a empresa. Em seguida, segundo o relatório, o nome de usuário informado pelo invasor será usado como login, sem que o sistema faça nenhum tipo de autenticação, sem nem mesmo pedir por uma senha.
No caso do plugin WP Capsule, o ataque pode ser ainda mais simples. De uma forma resumida, a WebArx explica: “Se a tentativa [de login] conter uma string ‘IWP_JSON_PREFIX’, ela vai chamar pela função ‘wptc_login_as_admin’, que sinaliza todas as contas administrativas disponíveis e usa a primeira da lista, permitindo que invasores acessem o sistema como administradores”.
A WebArx ainda ressalta que, por ambas as falhas serem codificadas (e não necessariamente um ataque modificado ou um vírus), até mesmo softwares de detecção de ameaças terão dificuldade em identificar os problemas. “Devido à natureza da vulnerabilidade, firewalls baseados em nuvem podem não ter a capacidade de diferenciar tráfegos maliciosos de legítimos e, por isso, podem falhar na devida proteção contra ela”.
Felizmente, o problema já parece ter sido resolvido. A WebArx disse que as falhas em questão estão fechadas nas versões mais atuais de ambos os plugins.
FONTE: CANALTECH