Milhões de sites WordPress
Milhões de sites WordPress receberam uma atualização forçada no último dia para corrigir uma vulnerabilidade crítica em um plugin chamado UpdraftPlus.
O patch obrigatório veio a pedido dos desenvolvedores do UpdraftPlus devido à gravidade da vulnerabilidade, que permite que assinantes, clientes e outros não confiáveis baixem o banco de dados privado do site, desde que tenham uma conta no site vulnerável.
Os bancos de dados geralmente incluem informações confidenciais sobre os clientes ou as configurações de segurança do site, deixando milhões de sites suscetíveis a graves violações de dados que liberam senhas, nomes de usuário, endereços IP e muito mais.
Resultados ruins, fáceis de explorar
O UpdraftPlus simplifica o processo de backup e restauração de bancos de dados de sites e é o plug-in de backup agendado mais usado da Internet para o sistema de gerenciamento de conteúdo do WordPress.
Ele simplifica o backup de dados para Dropbox, Google Drive, Amazon S3 e outros serviços em nuvem. Seus desenvolvedores dizem que também permite que os usuários agendem backups regulares e é mais rápido e usa menos recursos do servidor do que os plugins concorrentes do WordPress.
“Este bug é muito fácil de explorar, com alguns resultados muito ruins se for explorado”, disse Marc Montpas, o pesquisador de segurança que descobriu a vulnerabilidade e a relatou em particular aos desenvolvedores do plug-in.
Que ter privilégios?
“Isso possibilitou que usuários com poucos privilégios baixassem os backups de um site, que incluem backups de banco de dados brutos. Contas de baixo privilégio podem significar muitas coisas. Assinantes regulares, clientes (em sites de comércio eletrônico, por exemplo), etc.”
Montpas, pesquisador da empresa de segurança de sites Jetpack , disse que encontrou a vulnerabilidade durante uma auditoria de segurança do plugin e forneceu detalhes aos desenvolvedores do UpdraftPlus na terça-feira.
Um dia depois, os desenvolvedores publicaram uma correção e concordaram em forçar a instalação em sites WordPress que tinham o plugin instalado.
Estatísticas fornecidas pelo WordPress.org mostram que 1,7 milhão de sites receberam a atualização na quinta-feira e mais de 287.000 a instalaram até o momento. O WordPress diz que o plugin tem mais de 3 milhões de usuários.
Vulnerabilidade no plugin UpdraftPlus
Ao divulgar a vulnerabilidade na quinta-feira, UpdraftPlus escreveu :
Esse defeito permite que qualquer usuário logado em uma instalação do WordPress com o UpdraftPlus ativo exerça o privilégio de baixar um backup existente, privilégio que deveria ser restrito apenas a usuários administrativos.
Isso foi possível devido a uma verificação de permissões ausente no código relacionado à verificação do status atual do backup. Isso permitiu a obtenção de um identificador interno que de outra forma era desconhecido e poderia então ser usado para passar uma verificação de permissão para download.
Site WordPress
Isso significa que, se o seu site WordPress permitir que usuários não confiáveis tenham um login do WordPress e se você tiver algum backup existente, estará potencialmente vulnerável a um usuário tecnicamente qualificado que descubra como fazer o download do backup existente.
Os sites afetados correm o risco de perda/roubo de dados por meio do invasor acessar uma cópia do backup do seu site, se o seu site contiver algo não público. Digo “tecnicamente habilidoso” porque, nesse ponto, nenhuma prova pública de como aproveitar essa exploração foi feita.
Neste momento, ele depende de um hacker de engenharia reversa das alterações na versão mais recente do UpdraftPlus para resolver isso. No entanto, você certamente não deve confiar que isso demora muito, mas deve atualizar imediatamente.
Se você é o único usuário em seu site WordPress, ou se todos os seus usuários são confiáveis, então você não está vulnerável,
Leia também!
Sony oferece uma primeira olhada no fone de ouvido PSVR2 tipo orb
Quer excluir o Spotify? Estas são as alternativas
RIP Virtual Console: Nintendo desligará downloads de jogos Wii U e 3DS
Taika Waititi é diabolicamente engraçado como Barba Negra no trailer de Our Flag Means Death
Casamento entre pessoas do mesmo sexo do Sims 4 chegará à Rússia