Site expôs falhas em plugins WordPress. Hackers agradeceram e invadiram 160 mil sites

Um trio de vulnerabilidades zero-day em plugins do WordPress deixou 160 mil sites expostos a ataques na última semana.

O termo zero-day é usado para descrever uma ameaça que não foi corrigida ou que ainda não se tornou pública. Só que no caso do WordPress, os sites estavam suscetíveis a ataques, porque um investigador de segurança divulgou as falhas publicamente antes de serem corrigidas.

Os plugins Yuzo Related Posts e Yellow Visual Pencil Customizer para WordPress, que são usados ​​por 60 mil e 30 mil sites respetivamente, foram atacados depois de as falhas nos seus códigos terem sido reveladas.

Assim que a informação começou a circular pela internet, os dois plugins foram removidos da plataforma do WordPress. Enquanto o Yellow Pencil emitiu um patch três dias depois de a vulnerabilidade ser divulgada, o Yuzo Related Posts permanece indisponível e nenhum patch foi desenvolvido.

Já o plugin Social Warfare, que é usado em 70 mil sites, foi atingido com exploits depois de falhas de segurança no seu código serem expostas publicamente. O exploit é uma sequência de comandos ou dados elaborados por hackers que consegue causar um comportamento acidental ou imprevisto na execução de um software ou hardware.

Para fins maléficos, um exploit pode dar ao hacker o controle do sistema de um computador, permitindo a execução de determinados processos por meio de acesso não autorizado. Diferente de outros meios de disseminação de vírus e ataques informáticos, um exploit não precisa que o usuário clique num determinado link ou faça o download para a execução de algum arquivo.

Os desenvolvedores do plugin Social Warfare corrigiram a falha rapidamente, mas os sites que o utilizavam já haviam sido hackeados.

Vulnerabilidades de plugins

Todos os três plugins vulneráveis ​​foram invadidos para redirecionar os visitantes a sites que exibiam golpes de suporte técnico e outros tipos de fraudes online.

As falhas de segurança foram divulgadas pelo site Plugin Vulnerabilities, que publicou posts a explicar detalhadamente as vulnerabilidades, incluindo informações técnicas que os hackers usaram para atacar os plugins.

Quando as falhas do Yellow Visual Pencil Visual Theme e Social Warfare foram reveladas, estas foram exploradas por hackers numa questão de horas. As vulnerabilidades, entretanto, estavam no código dos plugins há 11 dias.

O investigador de segurança em vulnerabilidades de plugins, responsável pela publicação dos posts, explicou a decisão ao site Ars Technica. “A nossa política de divulgação é divulgar completamente as vulnerabilidades e, em seguida, tentar notificar o desenvolvedor”.

Neste caso, ele conta que publicou as vulnerabilidades zero-day no seu próprio site depois de as publicações que alertavam sobre as falhas foram removidas do Fórum de Suporte do WordPress por violar as regras da plataforma.

PARTILHAR

RESPONDER

Londres deixa de participar na maior parte das reuniões da UE a partir de 1 de setembro

Os representantes britânicos vão deixar de participar na maior parte das reuniões da União Europeia (UE) a partir de 01 de setembro, estando presentes somente nas que "dizem respeito ao interesse nacional", afirmou esta terça-feira …

Berardo escapou ao boicote. Vinhos da Bacalhôa no top dos mais vendidos em Portugal

Apesar dos boicotes promovidos a Joe Berardo após as suas polémicas declarações na Comissão Parlamentar de Inquérito à gestão da Caixa Geral de Depósitos, os vinhos da Bacalhôa, empresa de Azeitão de que o empresário …

Maré de algas invadiu praias do Algarve

Além de a água do mar mais fria do que o habitual, as praias foram invadidas por algas. O fenómeno natural causou estranheza e preocupação entre os banhistas, mas não existem riscos para a saúde. No …

Há livrarias a recusar vouchers de manuais gratuitos por falhas no pagamento do Estado

Algumas livrarias estão a enfrentar problemas financeiros com a entrega dos manuais escolares gratuitos que, neste ano, foram alargados até ao 12.º ano. Tudo devido a atrasos no pagamento dos reembolsos do Estado. Nalguns casos, …

Renato Sanches pode estar de saída do Bayern. "Está tudo em aberto"

O médio português voltou a expressar desagrado com a falta de tempo de jogo no Bayern Munique e o Lille poderá estar interessado na sua contratação. Renato Sanches voltou a expressar desagrado com a falta de …

De Chaves a Faro. Costa vai percorrer o país de lés a lés para "ganhar novas forças"

Com as eleições legislativas a aproximarem-se, António Costa comprometeu-se a percorrer os mais de 700 quilómetros da Estrada Nacional 2 durante as próximas semanas. António Costa já começou a preparar a campanha para a corrida às …

Aberto processo urgente de protecção das gémeas presas em garagem. MP conhecia caso há 3 anos

O Ministério Público (MP) instaurou um processo de protecção urgente das duas crianças de 10 anos que viveram nos últimos anos numa garagem, na Amadora. As gémeas estavam sinalizadas há 6 anos pela Comissão de …

Venda da madeira do Pinhal de Leiria já rendeu 13,6 milhões de euros

A venda de lenha do Pinhal de Leiria rendeu já 13,6 milhões de euros, segundo o Instituto da Conservação da Natureza e das Florestas (ICNF), citado pela presidente da Câmara Municipal da Marinha Grande. Segundo comunicado …

Cristiano Ronaldo: "2018 foi o ano mais difícil da minha vida"

O internacional português considera que 2018, ano marcado pela acusação de violação de que foi alvo nos Estados Unidos, que acabou por cair em julho, foi o pior da sua vida. "2018 foi possivelmente o ano …

Marcelo promulgou lei com gralha: citou acórdão que não existe

O Presidente da República promulgou alterações ao código de trabalho, recusando as suspeitas de inconstitucionalidade que as bancadas de esquerda levantam. Marcelo cita um acórdão do tribunal constitucional que não existe. É “uma gralha dos serviços …