1,6 milhão de sites do WordPress são alvos de massivo ataque virtual - Canaltech

Mesmo com o ano acabando, os problemas de segurança com plugins do WordPress continuam surgindo. Dessa vez, segundo um relatório da firma de segurança Wordfence, nos últimos dias cerca de 1,6 milhão de sites da plataforma estão sofrendo ataques com utilitários como alvo que permitem a escalação de privilégio de usuários recém-registrados nas páginas.

Esse ataque digital se aproveita de vulnerabilidades em versões não atualizadas de plugins para modificar configurações dos sites afetados, fazendo com que qualquer usuário recém-registrados neles possa ter acesso de administrador, ou seja, controle sobre o endereço em questão. No total, são quatro plugins do WordPress e 15 temas para sites disponibilizados via Epsilon Framework que estão sendo alvos dos ataques.

Alguns dos plugins e dos temas já haviam recebido atualizações em 2018 que arrumavam a falha de escalação de privilégios, enquanto outros só receberam a correção recentemente, em dezembro.

Os plugins afetados são os seguintes:

E esses são os temas do Epsilon Framework afetados:

O crescimento dos ataques a partir de 8 de dezembro. (Imagem: Reprodução/Wordfencer)

Segundo o relatório da Wordfencer, esses ataques começaram a aumentar exponencialmente na quarta-feira (08), com os pesquisadores acreditando que a recente correção para a falha de escalação de privilégios no plugin PublishPress Capabilities tenha feito os criminosos procurarem por outros utilitários com o mesmo problema.

Se protegendo

A Wordfencer recomenda que todos os administradores de sites do WordPress atualizem seus temas e plugins o mais rápido possível, mesmo que eles não estejam entre os afetados pelo ataque descrito acima. Além disso, para os usuários do tema NatureMag Lite, que ainda não teve correção para a falha disponibilizada, é recomendado a desinstalação imediata do layout.

A atualização dos plugins, porém, não irá remover a ameaça caso ela já tenha infectado o site. Se forem encontrados contas com privilégios de administrador na página que não existiam antes, é importante seguir o guia disponibilizado no site da Wordfencer para remover completamete os riscos.

Resultado de imagem para ameaça pode desestabilizar internet

Em 2016, a internet mundial ficou impactada quando um mega-ataque à empresa de DNS Dyn levou vários serviços online a ficarem inacessíveis. Na ocasião, o ataque DDoS utilizou uma botnet chamada Mirai para sobrecarregar a companhia e criar um efeito dominó na rede. Agora, uma ameaça muito pior está se preparando para criar estragos ainda maiores, como alertam especialistas.

A Mirai era uma rede de dispositivos conectados controlados remotamente. A ideia era bem simples: varrer a internet procurando câmeras, geladeiras, fogões, lixeiras e basicamente todo tipo de objeto conectado (a famosa Internet das Coisas) que não tivesse a proteção adequada. O sistema procurava esses aparelhos e testava combinações de login e senha padrão de fábrica ou estáticas para tomar controle e utilizá-los em ataques em massa como o que atingiu a Dyn.

A nova ameaça, descoberta pela empresa de segurança chinesa Qihoo 360 e pela israelense CheckPoint, tem potencial para ser muito pior. Chamada tanto de “Reaper” quanto de “IoT Troop”, essa rede vai além de procurar por essas credenciais padrão de fábrica: ela usa técnicas para hackear esses objetos conectados mesmo sem saber a combinação de login e senha.

A botnet Reaper foi criada com base no código da Mirai, mas o potencial para danos é ainda maior. A revista Wired dá uma explicação ótima sobre a diferença: “É a diferença entre apenas ver se a porta está destrancada e arrombar fechaduras para entrar em uma casa”. Esse método novo já arrebanhou mais de 1 milhão de dispositivos, que estão prontos para serem usados em algum ataque. E o número só cresce.

Ainda não há registros de um ataque usando a rede Reaper, mas seu potencial é imenso, podendo deixar para trás o impacto causado pela Mirai, justamente pela capacidade de hackear dispositivos com um nível adequado de proteção.

Segundo a CheckPoint, o malware já tem ferramentas para dominar roteadores D-Link, Netgear e Lynksys, além de câmeras conectadas vendidas por marcas como Vacron, GoAhead e AVTech. Muitas das vulnerabilidades usadas, no entanto, já foram corrigidas pelas fabricantes, mas não é um hábito do consumidor comum atualizar o firmware de seus eletrônicos.

A questão que resta é saber qual é o objetivo das pessoas ainda não identificadas por trás da Reaper. A rede ainda não foi usada para ataques, mas os aparelhos infectados por ela podem receber novos códigos para serem utilizados para diversos objetivos. Isso dito, vários dos dispositivos não servem para muito mais do que munição para DDoS, o que gera a pergunta sobre qual é o alvo. “Nós não sabemos se eles querem apenas criar caos global; eles têm algum alvo ou indústria que querem derrubar?”, pergunta Maya Horowitz, diretora da equipe de pesquisas da CheckPoint.