Campanha criminosa mira plugin vulnerável no WordPress

Campanha criminosa mira plugin vulnerável no WordPress - Canaltech

Uma grande campanha criminosa escaneou mais de 1,6 milhão de sites com o sistema WordPress em busca de um plugin vulnerável, que poderia levar a invasões e à hospedagem de arquivos maliciosos nos servidores. No centro das atenções estava o Kaswara Modern WPBakery Page Builder, que felizmente, estava presente apenas em uma pequena parte do volume analisado.

A extensão que permite a criação de páginas tinha uma brecha relativamente comum, permitindo que usuários não autenticados rodassem códigos JavaScript que, por sua vez, permitia a realização de ações nos sites e servidores de forma remota. Neste caso, entretanto, o plugin estava abandonado por seus criadores, enquanto a brecha existia desde 2021 e foi corrigida somente agora, com a publicação emergencial de uma atualização.

De acordo com a Wordfence, responsável pela descoberta da campanha maliciosa, os ataques contra os sites começaram no dia 4 de julho e tiveram, em média, 443,8 mil tentativas por dia. Eles seguiam acontecendo, pelo menos, até esta quarta-feira (13), com pequenas alterações neste total para baixo ou para cima e gerando milhões de solicitações que, também, poderiam ser usadas para derrubar páginas ou tirar serviços do ar.


Volume de solicitações em busca de sites contaminados chegou a uma média de mais de 400 mil por dia, a partir de IPs que indicam uso de exércitos de máquinas contaminadas (Imagem: Reprodução/Wordfence)

Mais de 10,2 mil IPs distintos estariam envolvidos na operação, que também sugere o uso de exércitos de máquinas contaminadas, comumente utilizadas em golpes de negação de serviço. Alguns endereços específicos chegaram a realizar, sozinhos, mais de 1,5 milhão de solicitações durante a campanha, com a Wordfence também divulgando uma lista para que administradores de sites possam efetuar bloqueios.

A recomendação é na interrupção do uso do Kaswara Modern WPBakery Page Builder e da troca do plugin por soluções que ainda estejam recebendo suporte de seus criadores. Manter sites, servidores, sistemas e extensões sempre atualizadas e rodando as versões mais recentes ajuda a manter a segurança das páginas e evitar explorações como esta, em que aberturas conhecidas são usadas para intrusão pelos atacantes.