O plugin vulnerável em questão é o Social Warfare, que é um plugin WordPress popular e amplamente implantado, com mais de 900.000 downloads. Ele é usado para adicionar botões de compartilhamento social a um site ou blog do WordPress.
No mês passado, os mantenedores do Social Warfare for WordPress lançaram uma versão atualizada 3.5.3 do seu plugin para corrigir duas vulnerabilidades de segurança - scripts armazenados entre sites (XSS) e execução remota de código (RCE) - ambos rastreados por um único identificador, ou seja , CVE-2019-9978 .
Os hackers podem explorar essas vulnerabilidades para executar código PHP arbitrário e assumir o controle total sobre sites e servidores sem autenticação e, em seguida, usar os sites comprometidos para executar mineração digital de moeda ou hospedar código de exploração mal-intencionado.
No entanto, no mesmo dia em que o Social Warfare lançou a versão corrigida de seu plugin, um pesquisador de segurança sem nome publicou uma divulgação completa e uma prova de conceito para a vulnerabilidade de Cross-Site Scripting (XSS) armazenada.
Logo após a divulgação completa e o lançamento do PoC, os atacantes começaram a tentar explorar a vulnerabilidade, mas, felizmente, limitavam-se apenas à atividade de redirecionamento JavaScript injetada, com os pesquisadores não encontrando tentativas in-the-wild de explorar a vulnerabilidade RCE.
Agora, os pesquisadores da Unidade de Rede Palo Alto 42 descobriram várias explorações aproveitando essas vulnerabilidades em estado selvagem, incluindo uma exploração da vulnerabilidade RCE que permite ao atacante controlar o site afetado e explorar a vulnerabilidade XSS que redireciona as vítimas para um site de anúncios .
Embora ambas as falhas tenham se originado devido ao manuseio incorreto de entrada, o uso de uma função incorreta e insuficiente possibilitou que atacantes remotos explorassem-nas sem exigir nenhuma autenticação.
No momento em que escrevo, mais de 37.000 sites WordPress de 42.000 sites ativos, incluindo sites de educação, finanças e notícias (alguns dos principais sites do Alexa) ainda usam uma versão desatualizada e vulnerável do plug-in do Social Warfare, deixando centenas de milhões de visitantes com o risco de invadir vários outros vetores.
Como é provável que os invasores continuem a explorar as vulnerabilidades para atingir os usuários do WordPress, é altamente recomendável que os administradores do site atualizem o plug-in do Social Warfare para a versão 3.5.3 ou mais recente o mais rápido possível.
Agora, os pesquisadores da Unidade de Rede Palo Alto 42 descobriram várias explorações aproveitando essas vulnerabilidades em estado selvagem, incluindo uma exploração da vulnerabilidade RCE que permite ao atacante controlar o site afetado e explorar a vulnerabilidade XSS que redireciona as vítimas para um site de anúncios .
Embora ambas as falhas tenham se originado devido ao manuseio incorreto de entrada, o uso de uma função incorreta e insuficiente possibilitou que atacantes remotos explorassem-nas sem exigir nenhuma autenticação.
"A causa raiz de cada uma dessas duas vulnerabilidades é a mesma: o uso indevido da função is_admin () no WordPress", dizem os pesquisadores em um post no blog . "O Is_admin verifica apenas se a página solicitada faz parte da interface administrativa e não impedirá qualquer visita não autorizada."
No momento em que escrevo, mais de 37.000 sites WordPress de 42.000 sites ativos, incluindo sites de educação, finanças e notícias (alguns dos principais sites do Alexa) ainda usam uma versão desatualizada e vulnerável do plug-in do Social Warfare, deixando centenas de milhões de visitantes com o risco de invadir vários outros vetores.
Como é provável que os invasores continuem a explorar as vulnerabilidades para atingir os usuários do WordPress, é altamente recomendável que os administradores do site atualizem o plug-in do Social Warfare para a versão 3.5.3 ou mais recente o mais rápido possível.
