Hackers estão explorando ativamente uma vulnerabilidade crítica de plug-in no WordPress, que permite limpar completamente todos os bancos de dados de sites e, em alguns casos, assumir o controle total do site afetado. A falha está no ThemeGrill Demo Importer, instalado em cerca de 100 mil sites, e foi divulgada no fim de semana pela empresa de segurança do site WebARX. Nesta terça-feira (18), o WebArx informou que a falha ainda estava ativa, com quase 17 mil ataques bloqueados até o momento.
Algumas das páginas afetadas mostram um post do WordPress escrito “Olá, mundo”. Sobre isso, o portal diz o seguinte: “se você usar este plug-in e sua página da web ainda não foi excluída, considere-se com sorte e remova o plug-in. Sim, remova-o, não apenas atualize”.
Acontece que essa mensagem “Olá, mundo” é um padrão exibido nos sites WordPress quando o sistema de gerenciamento de conteúdo de código aberto é instalado pela primeira vez, ou quando limpo. Os atacantes parecem explorar a vulnerabilidade do ThemeGrill na esperança de obter controle administrativo sobre os sites afetados. As aquisições de sites ocorrem apenas quando um site vulnerável tem uma conta com o nome “admin”. Nesses casos, depois que os hackers exploram a vulnerabilidade e limpam todos os dados, eles são automaticamente conectados como um usuário com direitos administrativos.
Na prática, o ThemeGrill Demo Importer é usado para importar automaticamente outros plug-ins disponíveis na empresa de desenvolvimento da Web. As estatísticas do WordPress inicialmente disseram que o plug-in importador recebeu 200 mil instalações, mas, recentemente, o número foi revisado para 100 mil, provavelmente porque muitos sites optaram por desinstalá-lo. Segundo o WebARX, a vulnerabilidade está ativa há cerca de três anos e reside nas versões 1.3.4 a 1.6.1. A correção está disponível na versão 1.6.2, embora uma versão mais recente (conhecida como 1.6.3) tenha sido disponibilizada nas últimas 12 horas.
Em janeiro deste ano, dois plug-ins bastante usados no WordPress — Infinite WP Client e WP Capsule — possuíam falhas críticas em seu funcionamento, expondo sites onde um ou outro estejam instalados. As vulnerabilidades permitiam invasões de hackers, que podiam acessar o backend das respectivas páginas, segundo um relatório divulgado pela WebArx Security. Na época, 320 mil sites estavam sob risco de ataques — número esse que corresponde à soma da base de usuários de ambos os plug-ins.