Hackers invadem 160 mil sites do WordPress após site detalhar falhas em plugins

Um trio de vulnerabilidades zero-day em plugins do WordPress deixou 160 mil sites expostos a ataques na última semana.

O termo zero-day é usado para descrever uma ameaça que não foi corrigida ou que ainda não se tornou pública. Só que no caso do WordPress, os sites estavam suscetíveis a ataques porque um pesquisador de segurança divulgou as falhas publicamente antes que elas fossem corrigidas.

Os plugins Yuzo Related Posts e Yellow Visual Pencil Customizer para WordPress, que são usados ​​por 60 mil e 30 mil sites respectivamente, foram atacados depois que as falhas em seus códigos foram reveladas.

Assim que a informação começou a circular pela internet, os dois plugins foram removidos da plataforma do WordPress. Enquanto o Yellow Pencil emitiu um patch três dias depois que a vulnerabilidade foi divulgada, o Yuzo Related Posts permanece indisponível e nenhum patch foi desenvolvido.

Já o plugin Social Warfare, que é usado em 70 mil sites, foi atingido com exploits depois que falhas de segurança em seu código foram expostas publicamente. O exploit é uma sequência de comandos ou dados elaborados por hackers que consegue causar um comportamento acidental ou imprevisto na execução de um software ou hardware.

Para fins maléficos, um exploit pode dar ao hacker o controle de um sistema de computador, permitindo a execução de determinados processos por meio de acesso não autorizado a sistemas. Diferente de outros meios de disseminação de vírus e ataques cibernéticos, um exploit não precisa que o usuário clique em um determinado link ou faça o download para a execução de algum arquivo.

Os desenvolvedores do plugin Social Warfare corrigiram a falha rapidamente, mas os sites que o utilizavam já haviam sido hackeados.

Vulnerabilidades de plugins

Todos os três plugins vulneráveis ​​foram invadidos para redirecionar os visitantes a sites que exibiam golpes de suporte técnico e outros tipos de fraudes online.

As falhas de segurança foram divulgadas pelo site Plugin Vulnerabilities, que publicou posts explicando detalhadamente as vulnerabilidades, incluindo informações técnicas que os hackers usaram para atacar os plugins.

Quando as falhas do Yellow Visual Pencil Visual Theme e Social Warfare foram reveladas, elas foram exploradas por hackers em questão de horas. As vulnerabilidades, entretanto, estavam no código dos plugins há 11 dias.

O pesquisador de segurança em vulnerabilidades de plugins, responsável pela publicação dos posts, explicou sua decisão ao site Ars Technica. “Nossa política de divulgação é divulgar completamente as vulnerabilidades e, em seguida, tentar notificar o desenvolvedor”.

Neste caso, ele conta que publicou as vulnerabilidades zero-day em seu próprio site depois que as postagens alertando sobre as falhas foram removidas do Fórum de Suporte do WordPress por violar as regras da plataforma.

COMPARTILHAR

DEIXE UM COMENTÁRIO:

Mandetta diz à CPI que Bolsonaro ignorou a ciência no combate à covid-19

Ex-ministro afirma que presidente queria alterar bula da cloroquina para que fosse indicada no tratamento contra o coronavírus. Falta de unidade nas ações do governo confundiu população e afetou combate à doença, avalia. O ex-ministro da …

Vacina EpiVacCorona tem eficácia de mais de 90%, segundo desenvolvedor

Especialista do centro desenvolvedor da EpiVacCorona informou que os estudos aleatórios em grupos imunizados mostram uma eficácia de mais de 90%. Os anticorpos contra o novo coronavírus, após a vacinação com o imunizante russo EpiVacCorona, se …

Covid: 5 motivos que explicam por que Índia recebe mais ajuda do mundo que Brasil

Hospitais em colapso. Pacientes sem vagas nas UTIs. Falta de oxigênio para quem precisa. O cenário devastador que assola a Índia agora durante a pandemia de covid-19 foi o mesmo do Brasil de algumas semanas atrás. …

Google tem sistema para busca de postos de vacinação contra covid

A partir de agora, o Google vai te ajudar a encontrar o lugar mais próximo para você tomar aquela dose tão sonhada da vacina contra a covid-19. A ferramenta se baseia em buscas do tipo ‘como …

Pessoas vacinadas serão isentas de restrições sanitárias na Alemanha

A Alemanha pretende suspender algumas restrições para as pessoas que já foram vacinadas contra o coronavírus. Quem já foi imunizado não será mais obrigado a apresentar um teste negativo para entrar em lojas que …

Com a tecnologia atual não teríamos nenhuma chance contra esse asteróide

Um asteróide fictício vindo em direção a Terra se mostrou mais poderosos que todos os cientistas. Um grupo de especialistas de agências espaciais dos EUA e da Europa participou de um exercício de uma semana liderado …

Divórcio de Bill e Melinda Gates: as dúvidas sobre o destino de fortuna de US$ 124 bilhões

Bill e Melinda Gates anunciaram na segunda-feira (03/05) que vão se divorciar após 27 anos juntos, pondo fim a um dos casamentos mais famosos do mundo dos negócios. Eles se conheceram na década de 1980, quando …

Atraso para tomar 2ª dose não prejudica imunização contra a COVID-19, explica infectologista

Pelo menos nove capitais brasileiras suspenderam a aplicação da segunda dose da vacina contra a COVID-19 fabricada pelo Instituto Butantan, a CoronaVac. Os municípios alegam que as mudanças nas regras do Ministério da Saúde prejudicaram …

Viaduto de metrô desaba no México e deixa mais de 20 mortos

Colapso de estrutura sobre movimentada avenida deixa 70 feridos na Cidade do México. Linha de metrô que trafegava pelo viaduto foi inaugurada há menos de dez anos. Ao menos 23 pessoas morreram e 70 ficaram feridas …

Converse abre loja virtual na famosa Ilha de Lixo do Pacífico

A Converse quer ajudar a limpar a ilha de Lixo do Pacífico por meio de uma campanha de conscientização que uniu criativos de todo o mundo. A marca de calçados juntou um grupo de jovens artistas …