O plugin do WordPress UpdraftPlus recebeu novas atualizações após o pesquisador de cibersegurança Marc Montpas descobrir uma vulnerabilidade capaz de comprometer informações sensíveis. Quando a falha foi identificada, o plugin contabilizava 3 milhões de instalações.
A equipe da Wordfence Threat Intelligence, empresa de segurança com foco em WordPress, detalhou em uma publicação que a vulnerabilidade permitia que qualquer usuário, inclusive aqueles que possuíam apenas as permissões de assinante, realizasse o download de backups feitos com o UpdraftPlus.
O post ressalta que backups contêm informações sensíveis, incluindo arquivos de configuração que podem ser utilizados para acessar a base de dados do site e os conteúdos dessa base de dados.
Segundo a análise da Wordfence, os invasores precisariam iniciar seu ataque durante um processo de backup, além de descobrir o registro de hora adequado para realizar o download.
A vulnerabilidade foi corrigida na quinta-feira (17) por meio da versão 1.22.3, e os usuários foram alertados e instruídos a consultar o site para garantir que eles estão rodando a versão mais recente.
UpdraftPlus
O UpdraftPlus é um plugin de backup popular utilizado em sites do WordPress. Apesar de ser esperado que uma ferramenta do tipo permita o download de backups, o problema foi encontrado em um recurso que possibilita que o proprietário do site envie links por e-mail para realizar o download.
Conforme explica a Wordfence, a funcionalidade foi implementada de forma precária, permitindo que até mesmo os usuários com os níveis de permissões mais baixos, como assinantes, criassem um link para realizar o download dos arquivos de backup.
O ataque inicia-se a partir da função “heartbeat” do WordPress, quando um invasor envia uma solicitação personalizada contendo um parâmetro de dados. Ao fornecer os subparâmetros adequados, o hacker é capaz de obter um backup de log que permite realizar o download dos arquivos.
Ainda de acordo com a Wordfence, para que a vulnerabilidade fosse explorada, um potencial invasor precisaria ter uma conta ativa no sistema alvo.
Ataques direcionados
A necessidade de ter uma conta ativa significa que a falha de cibersegurança recém-descoberta provavelmente será explorada apenas em ataques direcionados. Isso não diminui a gravidade do problema, no entanto.
Um ataque bem-sucedido poderia acarretar no vazamento de senhas e informações de identificação pessoal. Em alguns casos, o hacker poderia até mesmo obter o controle total do site caso ele conseguisse acessar as credenciais do banco de dados a partir de um arquivo de configuração.
Considerando esses potenciais desdobramentos, a Wordfence alerta que todos os usuários que utilizam o plugin UpdraftPlus devem atualizar para a versão mais recente o quanto antes para evitar que a vulnerabilidade seja explorada.
Esta não é a primeira vez, e provavelmente não será a última, que são identificadas falhas de segurança em plugins do WordPress. Uma das explicações é o fato de que ele é um dos maiores sistemas de gerenciamento de conteúdo da internet e, portanto, conta com um vasto ecossistema de plugins.
Uma das recomendações para reduzir os riscos de um potencial ataque em casos como o do UpdraftPlus é criar uma regra de firewall até que uma atualização para corrigir a falha seja implementada.