Wordpress: ataque atinge plugin para e-commerce com 11 mi de downloads
Por Felipe Demartini • Editado por Claudio Yuge |
Uma falha de segurança de alta criticidade foi descoberto no Elementor Pro, um popular plugin para criação de sites com Wordpress. A ferramenta, que já acumula mais de 11 milhões de downloads, possui uma brecha em sua integração com a plataforma WooCommerce, de comércio eletrônico, que permite a tomada completa de sites atingidos e o redirecionamento de usuários a sites fraudulentos.
- Vírus que rouba cartões é inserido durante o processamento de pagamentos
- Wordpress | 29% das falhas críticas em plugins não são corrigidas
A falha foi descoberta em meados de março pelo especialista Jerome Bruandet, da empresa de segurança NinTechNet, foi confirmada como parte de uma onda de ataques pela PatchStack, focada em análises de proteção para o Wordpress. Enquanto uma atualização do Elementor Pro já está disponível, os criminosos seguem buscando ativamente por domínios ainda desprotegidos, como forma de maximizar o ataque.
O problema aparece em um controle de acesso relacionado ao módulo de conexão do criador de sites com o WooCommerce. Bastaria possuir uma conta de usuário no serviço, como a de um cliente de uma loja, por exemplo, para obter controle do painel de administração do site a partir de uma ação AJAX; a partir disso, seria possível criar contas com privilégios avançados, alterar e-mails e perfis já cadastrados, além de realizar modificações nas próprias páginas.
Em ataques desse tipo, indica a NinTechNet, a forma de exploração mais óbvia é o redirecionamento de usuários para domínios fraudulentos, que podem se passar por meios de pagamento e até mesmo as próprias lojas, de olho em cartões de crédito e dados dos clientes. O download de malware a partir destes meios é outra preocupação, com os bandidos se aproveitando do caráter legítimo dos sites atingidos, ranqueados em mecanismos de busca e com boa reputação, para aumentar a chance de sucesso dos golpes.
Brecha no Wordpress vem sendo explorada de duas maneiras
De acordo com a PatchStack, a brecha vem sendo exploradas destas duas maneiras, com registros de contaminação dos sites com backdoors que são baixadas aos dispositivos dos usuários. Os indícios, também, são de uma única quadrilha realizando os golpes, já que apenas três endereços IP são usados nos ataques registrados até agora; os detalhes técnicos, assim como nomes de pacotes e indicadores de comprometimento, estão no relatório de segurança da empresa.
Aos administradores de sites, a recomendação é pela atualização do Elementor Pro, com a correção estando disponível da versão 3.11.7 do plugin em diante. Essa, aliás, é a principal dica para os donos de sites com Wordpress, que devem manter o sistema, assim como plugins e outros elementos ligados aos domínios, sempre rodando em suas últimas versões.
Fonte: NinTechNet, PatchStack