Hackers estão ativamente explorando uma vulnerabilidade de alta gravidade no popular plugin do WordPress Elementor Pro, usado por mais de onze milhões de sites.
O Elementor Pro é um plugin construtor de páginas do WordPress que permite aos usuários construir sites com aparência profissional sem saber codificar, apresentando drag and drop, construção de temas, uma coleção de modelos, suporte a widgets personalizados e um construtor do WooCommerce para lojas online.
Essa vulnerabilidade foi descoberta pelo pesquisador Jerome Bruandet da NinTechNet em 18 de março de 2023, que compartilhou detalhes técnicos nesta semana sobre como o bug pode ser explorado quando instalado junto com o WooCommerce.
O problema, que afeta a versão 3.11.6 e todas as versões anteriores, permite que usuários autenticados, como clientes de loja ou membros do site, alterem as configurações do site e até mesmo assumam o controle completo do site.
O pesquisador explicou que a falha se refere a um controle de acesso quebrado no módulo WooCommerce do plugin ("elementor-pro/modules/woocommerce/module"), permitindo que qualquer pessoa modifique as opções do WordPress no banco de dados sem validação adequada.
A falha é explorada por meio de uma ação AJAX vulnerável, "pro_woocommerce_update_page_option", que sofre com validação de entrada mal implementada e falta de verificações de capacidade.
"Um atacante autenticado pode aproveitar a vulnerabilidade para criar uma conta de administrador ativando o registro e definindo a função padrão como "administrador", alterar o endereço de e-mail do administrador ou redirecionar todo o tráfego para um site malicioso externo, alterando o siteurl, entre muitas outras possibilidades", explicou Bruandet em um texto técnico sobre o bug.
É importante notar que, para explorar a falha em particular, o plugin WooCommerce também deve estar instalado no site, o que ativa o módulo vulnerável correspondente no Elementor Pro.
A empresa de segurança do WordPress, PatchStack, informou que hackers estão explorando ativamente essa vulnerabilidade do plugin Elementor Pro para redirecionar visitantes para domínios maliciosos ou fazer upload de backdoors para o site comprometido.
A PatchStack diz que a backdoor enviada nesses ataques é nomeada como wp-resortpark.zip, wp-rate.php ou lll.zip.
Embora não tenham sido fornecidos muitos detalhes sobre essas backdoors, o BleepingComputer encontrou uma amostra do arquivo lll.zip, que contém um script PHP que permite a um atacante remoto fazer upload de arquivos adicionais para o servidor comprometido.
Essa backdoor permitiria ao atacante obter acesso completo ao site WordPress, seja para roubar dados ou instalar código malicioso adicional.
A PatchStack diz que a maioria dos ataques direcionados a sites vulneráveis se origina dos seguintes três endereços IP, portanto, é sugerido adicioná-los a uma lista de bloqueio:
Se o seu site usa o Elementor Pro, é essencial atualizar para a versão 3.11.7 ou posterior (a mais recente disponível é 3.12.0) o mais rápido possível, pois os hackers já estão mirando em sites vulneráveis.
Na semana passada, o WordPress atualizou forçadamente o plugin WooCommerce Payments para lojas online para corrigir uma vulnerabilidade crítica que permitia que atacantes não autenticados obtivessem acesso de administrador a sites vulneráveis.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...