Hackers sequestraram o sistema de atualização do plugin Smart Slider 3 Pro para WordPress e Joomla e enviaram uma versão maliciosa com múltiplos backdoors, conforme comunicado do fornecedor. O desenvolvedor afirma que apenas a versão Pro 3.5.1.35 do plugin é afetada e recomenda a troca imediata para a versão mais recente, atualmente 3.5.1.36, ou para as versões 3.5.1.34 e anteriores.
Além de instalar backdoors em múltiplos locais, a atualização maliciosa criou um usuário oculto com permissões de administrador e roubou dados sensíveis. Segundo o fornecedor, o ator de ameaça distribuiu a atualização maliciosa em 7 de abril, e alguns sites podem tê-la instalado.
Kit malicioso permite execução remota sem autenticação
Uma análise da PatchStack, empresa focada em segurança de WordPress e software de código aberto, observa que o malware é um kit de ferramentas completo e com múltiplas camadas, incorporado ao arquivo principal do plugin enquanto preserva a funcionalidade normal do Smart Slider, de acordo com o relatório.
Os pesquisadores notaram que o kit malicioso permite que um atacante remoto execute comandos sem autenticação por meio de cabeçalhos HTTP especialmente criados. Ele também inclui um segundo backdoor autenticado com execução de PHP eval e comandos do sistema operacional, além de roubo automatizado de credenciais.
Múltiplas camadas de persistência no WordPress
O malware alcança persistência por meio de múltiplas camadas, sendo uma delas a criação de uma conta de administrador oculta e o armazenamento de credenciais no banco de dados, explicam os pesquisadores da PatchStack. Além disso, ele cria um diretório ‘mu-plugins’ e um plugin must-use com um nome de arquivo que se passa por um componente legítimo de cache.
Plugins must-use são especiais porque são carregados automaticamente, não podem ser desabilitados do painel do WordPress e não são visíveis na seção de plugins. O kit malicioso também planta um backdoor no arquivo functions.php do tema ativo, o que permite que ele persista enquanto o tema estiver ativo. Outra camada de persistência é a injeção, no diretório wp-includes, de um arquivo PHP com um nome que imita uma classe legítima do núcleo do WordPress.
Recomendações e data segura para restauração
Conforme o comunicado do fornecedor. “Uma violação de segurança afetou o sistema de atualização responsável pela distribuição do Smart Slider 3 Pro para WordPress”, afirma o comunicado. Administradores que encontrarem a versão comprometida do plugin devem assumir comprometimento total do site e executar as seguintes ações: excluir usuários maliciosos, arquivos e entradas de banco de dados; reinstalar o núcleo do WordPress, plugins e temas de fontes confiáveis; girar todas as credenciais; regenerar as chaves de segurança do WordPress; verificar a presença de malware restante e revisar logs.
fonte: CISO ADVISOR
