Por Redator Rock Content

um de nossos especialistas.

Publicado em 4 de setembro de 2020. | Atualizado em 11 de setembro de 2020


A vulnerabilidade foi encontrada no plugin File Manager, responsável pelo gerenciamento de arquivos do WordPress usado em mais de 700 mil sites.

O plugin File Manager permite que o usuário realize ações de gerenciamento — edição, exclusão, carregamento, download, compactação etc. — em todos os arquivos e pastas do CMS a partir do backend do WordPress.

Dessa forma, o plugin elimina a necessidade de uso do FTP, principalmente por usuários que não têm muita familiaridade com a execução de ações a partir do Protocolo de Transferência de Arquivos.

Entretanto, recentemente os desenvolvedores tiveram uma dor de cabeça e tanto, relacionada à vulnerabilidade com a qual a extensão do WordPress ficou sujeita e que, a partir de um ataque de hackers, poderia comprometer os milhares de sites com o File Manager plugin instalado.

A brecha de segurança foi identificada inicialmente pela equipe de desenvolvedores da NintechNet, empresa estabelecida em Bangkok que relatou um ataque: o hacker em questão, fez o upload de um script intitulado hardfork.php e usou-o para injetar código em scripts do WordPress.

De acordo com a equipe de segurança do Sucuri, a vulnerabilidade surgiu na versão 6.4 do WordPress, que apesar de ser alvo constante de ataques, é uma das plataformas de gestão de conteúdo mais usada 38,3% dos sites na Internet, e segura para a criação de sites, blogs e e-commerces.

Isso, porque o WordPress é de código aberto, ou seja, por trás de todas as atualizações e melhorias há toda uma comunidade de desenvolvedores que, além de tudo, testam os patches e novas configurações e relatam rapidamente qualquer bug ou vulnerabilidade do software.

Na versão 6.4, lançada em 5 de maio, um arquivo foi renomeado no plugin para fins de desenvolvimento e teste. No entanto, em vez de ser mantido como uma alteração local, o arquivo foi adicionado acidentalmente ao projeto e usado como uma referência de código.

Powered by Rock Convert

Essa extensão adicionada ao arquivo foi renomeada de connector-minimal.php-dist para connector-minimal.php, um pequeno ajuste suficiente para acionar uma brecha crítica no plugin tão popular.

Como esse script do plugin File Manager concede aos usuários privilégios elevados para o gerenciamento de arquivos, bastaria que qualquer usuário não autenticado acessasse diretamente o caminho renomeado e executasse comandos arbitrários para a biblioteca, incluindo upload e modificação de dados.

Embora o uso do arquivo como referência possa ter ajudado a equipe a testar os recursos localmente, foi essa pequena alteração que gerou a vulnerabilidade que poderia afetar 52% dos sites que além de embasarem suas atividades no WP têm o File Manager plugin instalado — o que representa cerca de 364 mil páginas.

Uma semana antes de o arquivo ser removido, um código de Prova de Conceito (PoC) foi lançado no GitHub e levou a uma onda de ataques contra sites em 31 de agosto (foram registrados cerca de 10.000 ataques por hora em 2 de setembro pela equipe do Sucuri), antes da versão 6.9 ser disponibilizada e no dia anterior ao lançamento de uma versão corrigida do plugin.

Entretanto, a solução, incluída na versão 6.9, é bastante simples: basta que o usuário exclua o arquivo — que nunca fez parte da funcionalidade do plugin — e demais arquivos .php-dist que não são utilizados.

Embora a vulnerabilidade já tenha sido resolvida, é prudente que todos os usuários atualizem o plugin para a nova versão corrigida, dessa forma, o site fica protegido contra esse tipo de ataque.

Além disso, para garantir suporte especializado que ajude a identificar qualquer falha que comprometa a segurança do seu site, vale ter uma hospedagem WordPress gerenciada, como é o caso da plataforma Stage. Conheça e experimente nossa solução!

100.000 pessoas não podem estar enganadas
Deixe seu email e receba conteúdos antes de todo mundo

Posts relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *