Scripts Maliciosos e Backdoors Visam Falhas Críticas de Plug-Ins No WordPress

Uma nova onda de ataques cibernéticos está explorando vulnerabilidades em três plug-ins amplamente utilizados do WordPress, injetando scripts maliciosos e backdoors nos sites, alerta Fastly. Essas falhas críticas permitem que invasores executem ataques de cross-site scripting (XSS) armazenados não autenticados, facilitando a criação de contas de administrador não autorizadas do WordPress, a injeção de backdoors PHP em arquivos de plugins e temas e a configuração de scripts de rastreamento para monitorar sites comprometidos.

Fastly observou um número significativo de tentativas de exploração provenientes de IPs vinculados ao Autonomous System (AS) IP Volume Inc. Os plug-ins afetados incluem WP Statistics, WP Meta SEO e LiteSpeed Cache, afetando milhões de instalações ativas.

Vulnerabilidade de Estatísticas WP: CVE-2024-2194

A primeira vulnerabilidade afeta o plugin WP Statistics, que possui mais de 600.000 instalações ativas. Rastreada como CVE-2024-2194, essa falha permite que invasores injetem scripts por meio do parâmetro de pesquisa de URL. Divulgado em março, impacta as versões 14.5 e anteriores. Os scripts injetados são executados sempre que um usuário acessa uma página infectada, com os invasores adicionando o parâmetro ‘utm_id’ às solicitações para garantir que a carga apareça nas páginas mais visitadas.

Vulnerabilidade WP Meta SEO: CVE-2023-6961

A segunda vulnerabilidade, CVE-2023-6961, afeta o plugin WP Meta SEO, com mais de 20.000 instalações ativas. Este bug permite que invasores injetem uma carga útil nas páginas gerando uma resposta 404. Quando um administrador carrega essa página, o script busca o código JavaScript ofuscado de um servidor remoto. Se o administrador estiver autenticado, a carga poderá roubar suas credenciais.

Vulnerabilidade do Cache LiteSpeed: CVE-2023-40000

A terceira vulnerabilidade, CVE-2023-40000, tem como alvo o plugin LiteSpeed Cache, que tem mais de 5 milhões de instalações ativas. Os invasores disfarçam a carga XSS como uma notificação do administrador, acionando o script quando o administrador acessa uma página de back-end. Isso permite que o script seja executado usando as credenciais do administrador para ações maliciosas subsequentes.

A investigação do Fastly identificou cinco domínios referenciados nas cargas maliciosas, juntamente com dois domínios adicionais usados para rastreamento, pelo menos um dos quais foi anteriormente associado à exploração de plug-ins vulneráveis do WordPress. Os administradores de sites que usam os plug-ins afetados são aconselhados a atualizar imediatamente para as versões mais recentes e monitorar seus sites em busca de qualquer atividade suspeita.