Ataque a mais de 1,6 milhão de sites WordPress atingidos em 36 horas

Nelsir Luterek

10/12/2021 - 23:13

0:00

Analistas do Wordfence relatam ter detectado uma onda maciça de ataques nos últimos dias, originada de 16.000 IPs e tendo como alvo mais de 1,6 milhão de sites WordPress.

Os atores de ameaça têm como alvo quatro plugins WordPress e quinze temas do Epsilon Framework, um dos quais não tem patch disponível.

Alguns dados do ataque indicam que havia muito pouca atividade dos atacantes visando qualquer vulnerabilidades já corrigida nos plugins e temas até 8 de dezembro de 2021. Isso nos leva a crer que a vulnerabilidade recentemente corrigida no PublishPress Capabilities pode ter provocado invasores para atingir várias vulnerabilidades de atualização de opções arbitrárias como parte de uma campanha massiva.

Imagem representa o número de ataques bloqueados pelo Plugim.

Pode-se observar que os 10 IPs ofensivos nas últimas 36 horas incluem:

144.91.111.6 com 430.067 ataques bloqueados.
185.9.156.158 com 277.111 ataques bloqueados.
195.2.76.246 com 274.574 ataques bloqueados.
37.187.137.177 com 216.888 ataques bloqueados.
51.75.123.243 com 205.143 ataques bloqueados.
185.200.241.249 com 194.979 ataques bloqueados.
62.171.130.153 com 192.778 ataques bloqueados.
185.93.181.158 com 181.508 ataques bloqueados.
188.120.230.132 com 158.873 ataques bloqueados.
104.251.211.115 com 153.350 ataques bloqueados.

Endereços IP lançando os ataques — Imagem representa o número de ataques bloqueados em 36horas e IPS lançando ataques.

A equipe do Wordfence divulgou a lista de plugins e temas do wordpress que tem vulnerabilidades.

Recursos depressar
Kiwi Social Plugin
Pinterest Automático
WordPress Automático

Os temas do Quadro Epsilon são:

Shapely
NewsMag
Activello
Illdy
Allegiant
Jornal X
Pixova Lite
Brilho
MedZone Lite
Regina Lite
Transcender
Afluente
Maluco
Antreas
NatureMag Lite – Sem patch disponível

“Na maioria dos casos, os invasores estão atualizando a opção users_can_register para habilitar e definir a opção default_role para administrador”
explica Wordfence.

“Isso permite que os invasores se registrem em qualquer site como administrador efetivamente assumindo o site.”

Como identificar e Eliminar o ataque

Para verificar se seu site já foi comprometido, você pode revisar todas as contas de usuários e procurar quaisquer adições desonestos que devem ser removidas imediatamente.

Em seguida, revise as configurações do site em “http://examplesite[.] com/wp-admin/options-general.php” e preste atenção à Configuração de Membros e à nova configuração de função padrão do usuário.

Verificando as configurações no site — Percebemos que está criado a função nova “New User Default Role”

Recomenda-se atualizar seus plugins e temas o mais rápido possível, mesmo que eles não estejam na lista acima. Se você estiver usando o NatureMag Lite, para o qual não há correção, você deve desinstalá-lo imediatamente.

Observe que atualizar os plugins não eliminará a ameaça se seu site já tiver sido comprometido. Neste caso, você é aconselhado a seguir as instruções encontradas no site da Wordfence em guias de limpeza detalhados.

Em geral, tente manter o número de plugins em seu site WordPress ao mínimo necessário, pois isso reduz drasticamente as chances de ser alvo e hackeado em primeiro lugar.

Fonte: Conteúdo traduzido parcialmente do original em WordFence