Centenas de milhares de sites WordPress foram direcionados ao longo de 24 horas em um ataque cibernético em larga escala com o objetivo de coletar credenciais de banco de dados.
Os cibercriminosos por trás do ataque tentavam baixar os arquivos de configuração wp-config.php dos sites dos usuários do WordPress, pois contêm informações valiosas, incluindo credenciais do banco de dados, informações de conexão, chaves e sais exclusivos de autenticação.
Eles tentaram explorar as vulnerabilidades conhecidas de script entre sites (XSS) nos plugins e temas do WordPress instalados nos sites dos usuários como um meio de obter acesso às suas credenciais com o objetivo final de dominar completamente seus sites.
Em uma postagem no blog, o engenheiro de controle de qualidade e analista de ameaças Ram Gall forneceu mais informações sobre a escala da campanha, dizendo:
“Entre 29 e 31 de maio de 2020, o Wordfence Firewall bloqueou mais de 130 milhões de ataques destinados a coletar credenciais de banco de dados de 1,3 milhão de sites, baixando seus arquivos de configuração. O pico desta campanha de ataque ocorreu em 30 de maio de 2020. Nesse momento, os ataques desta campanha representavam 75% de todas as tentativas de exploração de vulnerabilidades de plugins e temas em todo o ecossistema do WordPress.”
Segmentação de contas WordPress
Os pesquisadores de segurança do Wordfence conseguiram vincular essa campanha a outro ataque em larga escala que começou em 28 de abril, analisando os 20.000 endereços IP diferentes usados nesse último ataque.
Na campanha anterior , o agente de ameaças rastreado pela empresa tentou plantar backdoors ou redirecionar visitantes a sites de malvertising, explorando vulnerabilidades XSS em plugins que foram corrigidos, mas ainda não foram atualizados pelos proprietários do site WordPress.
Em apenas um dia, em 3 de maio, os atacantes por trás dessas campanhas conseguiram lançar mais de 20 milhões de ataques contra mais de meio milhão de sites.
Como geralmente acontece, os proprietários de sites WordPress podem se defender contra esses tipos de ataques, garantindo que todos os plugins e temas instalados em seus sites sejam atualizados para a versão mais recente e aplicando e corrigindo os lançamentos de seus criadores. Além disso, eles devem excluir ou desativar temas e plugins desatualizados que foram removidos do repositório oficial do WordPress, pois não estão mais sendo mantidos.
Saiba mais sobre isso em nosso setor especializado em segurança digital.