Três plug-ins do WordPress chamaram a atenção este mês depois que pesquisadores descobriram sérias vulnerabilidades neles - e os números são preocupantes, visto que esses plug-ins foram instalados em mais de 400, 000 sites - com usuários muito abertos para serem ignorados por ataques cibernéticos.

Os três plug-ins em destaque foram InfiniteWP, WP Time Capsule, e plug-ins de redefinição de banco de dados WP.

ZDNet foi um dos sites de monitoramento técnico para incitar os leitores a agirem:"Se você usar esses plug-ins, atualize imediatamente, pois a proteção de firewall l não funcionará."

HotHardware Brittany Goetting ofereceu alguns números mais sombrios. Existem mais de 50, 000 plug-ins para rodar e nem todos são criados iguais, ela escreveu.

Dos três em destaque, pode-se também começar com a vulnerabilidade de desvio de autenticação no Cliente InfiniteWP. Segurança Nu descreveu-o como uma ferramenta que permite aos administradores gerenciar vários sites WordPress a partir da mesma interface.

Os administradores que supervisionam os sites usam o Cliente InfiniteWP.

Pelo menos 300, 000 de sites podem ter sido afetados pela vulnerabilidade, Goetting disse.

O plugin, foi encontrado, faltou certas verificações de autorização. "Você está vulnerável se estiver usando as versões do cliente InfiniteWP até 1.9.4.4, e, como resultado, os usuários do plugin devem atualizar seus sites para a versão 1.9.4.5 assim que possível, " ela escreveu.

O blog Wordfence (Wordfence é um produto de uma empresa chamada Defiant) disse que essa era uma vulnerabilidade de autenticação crítica. "Uma prova de conceito foi publicada esta manhã, 14 de janeiro 2020. Se você estiver usando o cliente InfiniteWP versão 1.9.4.4 ou anterior, recomendamos atualizar imediatamente sua instalação para proteger seu site. "

Dan Goodin em Ars Technica também descreveu a gravidade da vulnerabilidade de desvio de autenticação no plugin InfiniteWP Client.

"Ele permite que os administradores gerenciem vários sites a partir de um único servidor. A falha permite que qualquer pessoa faça login em uma conta administrativa sem nenhuma credencial. A partir daí, os invasores podem excluir o conteúdo, adicionar novas contas, e realizar uma ampla gama de outras tarefas maliciosas. "

A empresa de segurança WebARX relatou o cliente InfiniteWP, e outra vulnerabilidade, WP Time Capsule.

O WP Time Capsule foi projetado para tornar o backup de dados de sites mais fácil.

Ars Technica relatou que o bug foi corrigido na versão 1.21.16. "Os sites que executam versões anteriores devem ser atualizados imediatamente. A empresa de segurança da Web WebARX tem mais detalhes." disse Ars .

ZDNet falou sobre WP Time Capsule; Charlie Osborne em ZDNet disse que o WP Time Capsule estava ativo em pelo menos 20, 000 domínios, de acordo com a biblioteca de plug-ins do WordPress.

O plugin WP Database Reset recebeu muita atenção, com quase 80, 000 sites usando o plugin, que ajuda os usuários a redefinir seus bancos de dados ou partes de bancos de dados para suas configurações padrão.

Wordfence:"Em 7 de janeiro, nossa equipe de inteligência de ameaças descobriu vulnerabilidades no WP Database Reset, um plugin WordPress instalado em mais de 80, 000 sites. Uma dessas falhas permitia que qualquer usuário não autenticado redefinisse qualquer tabela do banco de dados para o estado inicial de configuração do WordPress, enquanto a outra falha permitia qualquer usuário autenticado, mesmo aqueles com permissões mínimas, a capacidade de conceder privilégios administrativos à conta enquanto exclui todos os outros usuários da mesa com uma simples solicitação. "

O plugin não incluiu inicialmente as verificações de segurança adequadas. "Uma vulnerabilidade permitiu que os invasores redefinissem qualquer tabela e causassem uma perda de disponibilidade de dados, "escreveu Goetting." Outra vulnerabilidade permitia que qualquer assinante assumisse o controle total do site e expulsasse todos os administradores. Felizmente, ambas as falhas foram corrigidas com a versão 3.15. É claro que os pesquisadores de segurança também incentivam os usuários a sempre fazer backup de seus sites. "

Sergiu Gartlan para BleepingComputer prestei atenção a esse achado também. "Bugs críticos encontrados no plugin de redefinição de banco de dados do WordPress ... permitem que os invasores eliminem todos os usuários e sejam automaticamente elevados a uma função de administrador e redefinam qualquer tabela no banco de dados."

O blog Wordfence emitiu este conselho, vendo que esses eram considerados problemas de segurança críticos que poderiam causar a reinicialização e / ou aquisição completa do site. "É altamente recomendável atualizar para a versão mais recente (3.15) imediatamente."

O que Ars Technica concluir sobre os três plug-ins, InfiniteWP, WP Time Capsule, e WP Database Reset? Eles tinham poucas palavras e estas vinham facilmente:"É hora de corrigir."

Os comentários dos leitores no Ars estavam tentando localizar a origem dos problemas. "O problema, "disse um leitor, "é quando os administradores do site instalam 10, 000 plug-ins, cada um dos quais se torna um novo vetor de ataque. "

Onde os usuários ouviram isso antes? Análise de negócios de informática , em junho, declarou que "os plug-ins do WordPress são amplamente considerados uma das maiores ameaças à segurança para os usuários do WordPress."

Não há evidências de que qualquer um dos três plug-ins vulneráveis ​​esteja sendo explorado ativamente na natureza, disse Goodin.

© 2020 Science X Network