Falha em extensão do Wordpress pode ter colocado 90 mil sites em risco

Falha em extensão do Wordpress pode ter colocado 90 mil sites em risco

Por Felipe Demartini | Editado por Jones Oliveira | 14 de Outubro de 2021 às 16h20
Divulgação/Brizy

Mais um dia, mais uma vulnerabilidade em um plugin popular para o sistema de gerenciamento de conteúdo Wordpress. O alerta da vez é quanto ao Brizy, um sistema de criação de páginas de forma simples e com controles fáceis para leigos, que possuía aberturas que podem ter colocado 90 mil sites em risco de controle remoto por atacantes, com páginas e ambientes internos sendo utilizados para a realização de ataques.

A abertura localizada pelos especialistas em segurança do Wordfence já foi atualizada e funcionava a partir de diferentes vetores. No principal deles, uma checagem de privilégios de usuário poderia permitir que qualquer um, até mesmo indivíduos com o acesso mais inferior possível, fossem validados como administradores, sendo capazes de modificar configurações, alterar páginas já publicadas, realizar postagens ou cadastrar novos utilizadores de forma direta.

A partir daí, outras duas brechas foram localizadas. Na primeira, um atacante se tornaria capaz de alterar parâmetros para hospedar conteúdos em JavaScript em uma página disponível, enquanto, a partir de uma segunda, também seria possível subir conteúdo malicioso para os servidores. Em ambos os casos, são caminhos que poderiam levar à utilização de sites legítimos em ataques contra terceiros, assim como permitiriam que um terceiro assumisse controle das publicações e removesse seus criadores originais.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

O segundo caso chamou a atenção dos especialistas pela simplicidade na exploração. Ainda que para chegar até ele fossem necessários uma série de passos, uma vez cumpridos, bastava realizar o upload de um arquivo com um final aceito pelo Wordpress para que o dado malicioso fosse hospedado no servidor; seria possível, por exemplo, subir uma página maliciosa em PHP inteira, apenas, a renomeando para página.php.jpg, por exemplo.

Abertura em construtor de páginas para Wordpress permitia que atacantes usassem domínios legítimos para realizar ataques ou distribuir malwares (Imagem: Divulgação/Brizy)

Por meio dessas diferentes formas de ação, seria possível utilizar domínios legítimos para aplicar golpes contra terceiros, exibindo páginas de cadastro ou download de malwares que seria mais eficaz. A distribuição de spam e códigos maliciosos, bem como o uso da hospedagem como servidores de comando e controle para pragas também poderia ser realizada a partir da abertura.

De acordo com os pesquisadores, a raiz do problema era uma falha lógica nas checagens de autorização do Brizy, que suplantou até mesmo atualizações anteriores, liberadas em junho de 2020, e que mitigaram um problema de autenticação semelhante. Por outro lado, de acordo com a Wordfence, os administradores do plugin foram rápidos na resposta e, em questão de dias, liberaram novos updates para as falhas apontadas, com a divulgação das vulnerabilidades acontecendo apenas agora, mais de um mês depois que a correção foi lançada.

Ainda assim, a ideia é que muitos dos sites que utilizam a extensão podem estar desatualizados e, sendo assim, vulneráveis à exploração. A própria descoberta das aberturas foi feita a partir da análise de dados ligados ao Brizy, indicando um fluxo irregular de informações, mas sem indicativos de ataques em andamento até o momento em que o alerta foi publicado. Com seus detalhes disponíveis publicamente, entretanto, a ideia é que deve ser questão de tempo até que a brecha seja utilizada de forma maliciosa.

A recomendação para os administradores de páginas é quanto à atualização não apenas do Brizy, mas de todos os plugins utilizados em sites gerenciados pelo Wordpress. O uso de soluções de segurança, que identificam aberturas desse tipo ou detectam tráfego irregular nos servidores, também é recomendado em aplicações mais críticas.

Fonte: Wordfence

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.