Muitos usuários têm dúvidas sobre como criar um site e optam pelo WordPress uma vez que o CMS é extremamente versátil e customizável. Nele é possível adicionar temas, plugins, widgets e outros elementos de personalização para potencializar a usabilidade e a performance das páginas.
Entretanto, a desatualização é uma porta de entrada para hackers que buscam vulnerabilidades com o objetivo de acessar dispositivos, softwares ou instalar malwares e outras formas de invasão no sistema do usuário.
No dia 7 de agosto foram relatadas falhas à equipe de desenvolvimento do plugin WooCommerce. Dave Jong, CTO da WebARX, que identificou a vulnerabilidade diz que o ataque busca atingir sites baseados no WooCommerce com versões desatualizadas do plugin instalada no WordPress.
A extensão otimiza as funcionalidades de lojas virtuais e melhora a experiência dos visitantes durante o acesso.
Segundo a sua descrição, o WooCommerce ajuda na implementação de descontos em massa, criação de preços dinâmicos, aplicação de descontos avançados, em camadas e em percentuais baseados nos produtos do e-commerce. Por sua alta performance, o plugin tem mais de 30.000 instalações ativas.
A popularidade do WooCommerce também pode ter sido um motivo para incentivar a atuação dos hackers, que tentam explorar a injeção de SQL, problemas de autorização e vulnerabilidades de segurança de cross-site scripting não autenticados (XSS) em suas Regras de desconto.
No 13 de agosto uma nova versão (2.1.0) foi lançada para corrigir essas brechas de segurança. A atualização do WooCommerce foi baixada mais de 12 mil vezes na última semana — com base nos dados históricos de download fornecidos pelo portal WordPress, volume que representa o número total de atualizações e novas instalações.
Apesar disso, muitos usuários (aproximadamente 17 mil) que não fizeram essa atualização estão expostos e ainda podem ser vítimas de ataques.
O IP de origem dos ataques foi identificado (45. 140.167.17) e o módulo de ação dos hackers também: eles tentam injetar o script poponclick.info/click.js no hook do template woocommerce_before_main_content.
No dia 23 de agosto, outro influxo de ataques foi bloqueado. Nele, o endereço de IP 95.181.152.136 também tentou injetar os scripts stock.developerstatss.ga/stock.js? V = 1 e stock.developerstatss.ga/stock.js? V = 2 nos hooks do template woocommerce_before_main_content.
O template woocommerce_after_main_content e o rodapé da página também foram alvos nesse ataque. O objetivo do script é redirecionar os visitantes para um site malicioso.
As falhas de segurança encontradas e relatadas pela WebARX também permitem que os invasores executem códigos em potencial de forma remota nos sites vulneráveis, atuem com permissões de administrador e comprometam o controle das páginas.
Com base na análise de Jong, essas vulnerabilidades são causadas pela falta de token e verificações de autorização de acesso, que poderiam impedir que invasores não autenticados recuperassem a lista dos usuários, códigos e cupons praticados, injetassem XSS no cabeçalho ou rodapé da página ou acionassem exploits de execução remota de código.
Segundo ele:
“Um usuário mal-intencionado pode injetar um JavaScript no local admin_head para executar certas ações de administrador no backend ou um keylogger JavaScript no formulário de login para, eventualmente, assumir uma conta de administrador.”
Se você ainda não conhece o WooCommerce, veja nosso artigo sobre o plugin e instale a versão atualizada para impedir qualquer tentativa de ataque ao seu site!
