Falha em plug-in do WordPress compromete mais de 50 mil sites

Uma brecha de segurança encontrada no MailPoet Newsletters para WordPress está sendo explorada ativamente por hackers e afeta servidores web;

Uma vulnerabilidade crítica encontrada recentemente em um popular plug-in para newsletters do WordPress está sendo explorada ativamente por hackers e foi usada até agora para comprometer pelo menos 50 mil web sites. A brecha de segurança está localizada no MailPoet Newsletters, antes conhecido como wysija-newsletters, e foi corrigida na versão 2.6.7 do plug-in liberada em 1 de julho. 

Se não atualizada, a falha permite que atacantes façam upload de arquivos PHP para o servidor de web e tomem controle do site. O MailPoet Newsletters já foi baixado 2 milhões de vezes do repositório oficial de plug-ins do WordPress até agora. 

Os pesquisadores da empresa de segurança Sucuri flagaram um ataque automático que injetava um arquivo PHP backdoor em vários sites de WordPress. Uma análise mais detalhada revelou que o ataque explorava a vulnerabilidade de upload do arquivo MailPoet que foi corrigda no início do mês. 

"A backdoor é bem maligna e cria um usuário admin com o nome de 1001001", informaram os pesquisadores de segurança da Sucuri em um post no blog da empresa na quarta-feira. "Ele também injeta um código backdoor em todos os arquivos principais do tema. O maior problema é que esse processo geralmente sobrescreve arquivos bons, tornando bem difícil recuperar o sistema sem ter um bom backup a mão." 

A Sucuri tem um website gratuito com um scanner de ameaças que as pessoas usam voluntariamente e que detectou alguns milhares de sites comprometidos diariamente pelo ataque. Segundo Daniel Cid, chief technology officer da Sucuri, a estimativa até agora é de 50 mil sites infectados e alguns deles nem tinham o MailPoet instalado ou nem estavam usando o WordPress. 

Nesses casos, aconteceu o que Cid chama de contaminação cruzada. Se um servidor de web tem um site WordPress vulnerável que foi atacado, a porta PHP instalada pelos hackers pode infectar todos os sites que são hospedados naquele servidor sob uma mesma conta. 

"Em muitas empresas de compartilhamento de hospedagem – como GoDaddy, Bluehost, etc. – uma conta não pode acessar os arquivos de outra conta, portanto a contaminação cruzada ficaria limitada aos sites que pertencem a apenas uma conta", diz o pesquisador. No entanto, nos nos casos em que o servidor "não está configurado adequadamente, o que é bem comum, a infecção pode se espalhar por todos os sites de todas as contas". 

Para proteger seus sites WordPress do ataque, os administradores precisam fazer o update para a versão mais recente do plug-in do MailPoet.  

Fonte: COMPUTERWORL