Mais de 900.000 sites WordPress foram direcionados em uma nova campanha de ataque que visa redirecionar visitantes para sites de malvertising ou plantar backdoors no cabeçalho de um tema, se um administrador estiver logado.
A maioria desses ataques parece ser o trabalho de um único agente de ameaça com base na carga maliciosa do JavaScript que eles estão tentando injetar em sites vulneráveis. O invasor também aproveitou as vulnerabilidades mais antigas, que permitiram alterar o URL inicial de um site para o mesmo domínio usado na carga útil de scripts entre sites (XSS), a fim de redirecionar os visitantes para sites de malvertising.
Em um post do blog, QA sênior da Defiant, Ram Gall forneceu mais informações sobre a escala da campanha, dizendo:
“Embora nossos registros mostrem que esse ator de ameaças pode ter enviado um volume menor de ataques no passado, é apenas nos últimos dias que eles realmente aumentaram, a ponto de mais de 20 milhões de ataques serem tentados contra mais de meio milhão de sites individuais em 3 de maio de 2020. No total, no mês passado, detectamos mais de 24.000 endereços IP distintos, enviando solicitações que correspondem a esses ataques a mais de 900.000 sites “.
Segmentando vulnerabilidades antigas do WordPress
De acordo com Gall, o invasor alvejou várias vulnerabilidades nos plugins do WordPress que foram removidos dos repositórios oficiais ou corrigidos nos últimos anos.
Mais da metade de todos os ataques foram direcionados a sites com o plug-in Easy2Map, que contém uma vulnerabilidade XSS. Embora o plug-in tenha sido removido do repositório WordPress em agosto de 2019, ele ainda está instalado em menos de 3.000 sites. O invasor também explorou uma vulnerabilidade XSS no plug-in Blog Designer corrigido em 2019 e o tema Journal publicado em 2016.
Para alterar o URL inicial de um site, o invasor aproveitou uma vulnerabilidade de atualização de opções nos plugins WP GDPR Compliance e Total Donations. O WP GDPR Compliance possui mais de 100.000 instalações, mas a Defiant estima que não restem mais de 5.000 instalações vulneráveis. O total de doações, por outro lado, foi removido permanentemente do Envato Marketplace no início de 2019 e estima-se que restem menos de 1.000 instalações no total.
Se o seu site usa algum desses plugins ou temas, é altamente recomendável que você os atualize imediatamente e remova qualquer um que não esteja mais no repositório oficial do WordPress.
Saiba mais em nosso setor de segurança digital.