Nesta página: [ocultar]
Pesquisadores de segurança relataram recentemente uma vulnerabilidade no plugin do gerenciador de arquivos. Que inicialmente ameaçou mais do que 700,000 Sites WordPress. Contudo, em alguns dias, o número de sites atacados alcançado 2.6 milhão.
Vários invasores explorando a vulnerabilidade do plug-in do gerenciador de arquivos
De acordo com Wordfence (Desafiador) pesquisadores, vários atores de ameaças são os culpados para esses ataques, com dois atores de ameaças específicas sendo os mais bem-sucedidos nas explorações. Parece que esses invasores estão agora protegendo com senha cópias vulneráveis de um arquivo específico, conhecido como conector.minimal.php.
O mais ativo desses invasores foi identificado como “Bajatax”. Isso anteriormente roubava credenciais de sites da PrestaShop. Os indicadores de comprometimento que os pesquisadores descobriram incluem arquivos simples que continham o “Bajatax” corda. E modificações nos dados de connector.minimal.php vulneráveis originais. A última linha é projetada para bloquear todos os outros invasores potenciais. Os pesquisadores’ descobertas indicam que esses arquivos estão sendo utilizados por alguns dos IPs mais dinâmicos implantados nos ataques.
Sites infectados terão código malicioso adicionado a eles. Este código utiliza a API do Telegram para exfiltrar as credenciais de todos os usuários que efetuam login no site comprometido. Além disso, o mesmo princípio é adicionado à pasta user.php, que é um arquivo principal do WordPress.
O segundo invasor que explora a vulnerabilidade do Gerenciador de Arquivos com grande sucesso está derrubando um infectante específico, feoidasf4e0_index.php, com um hash MD5 de 6ea6623e8479a65e711124e77aa47e4c. E um backdoor inserido por este infectador, Wordfence diz no relatório oficial. Esse invasor também é uma senha que protege o connector.mininal.php para tentar bloquear outros agentes de ameaça.
Os pesquisadores também descrevem que a porta dos fundos usada por este segundo ator está em uso há muitos anos. Contudo, várias cópias podem ser espalhadas em um único site infectado, levando à persistência se nenhuma proteção estiver presente.
além disso, uma vez que os backdoors forem instalados com sucesso. O invasor os está utilizando para fazer mais modificações nos arquivos principais do WordPress.
O que você deve fazer se estiver usando uma versão vulnerável do plugin do gerenciador de arquivos?
O melhor conselho de segurança é usar uma ferramenta de segurança para verificar se há malware em seu site. Caso você descubra que seu site foi comprometido pelos ataques descritos neste artigo. Você deve considerar limpar seu site antes de fazer qualquer outra coisa.
Se você for o proprietário de um site de comércio eletrônico, você também deve entrar em contato com todos os seus usuários. Informando que suas credenciais podem ter sido comprometidas. Você também pode testar a segurança geral do seu site usando as dicas que fornecemos no artigo abaixo:
Leia também Como testar a segurança do seu site WordPress