Vulnerabilidades no WordPress coloca milhões de sites em risco

Milhões de sites que utilizam a popular plataforma de blogs WordPress estão em risco devido às vulnerabilidades de dia zero recém descobertas. Essas vulnerabilidades foram descobertas pelo pesquisador da Finlândia, Jouko Pynnönen. Elas permitem que um agressor execute um código JavaScript na janela do navegador do administrador do site e podem realizar mais tarefas maliciosas usando os privilégios de administrador. O invasor pode até mesmo assumir o controle do servidor. O WordPress disponibilizou uma atualização, que chamou de “lançamento de segurança crítica”, apelando para que todos usuários atualizassem o WordPress.

As vulnerabilidades permitem que um hacker lance um ataque “cross-site scripting” (XSS) armazenado através de comentários, fóruns, discussões, etc. Esse tipo de ataque XSS é o tipo mais perigoso. O ataque é realizado adicionando-se conteúdos HTML e JavaScript, juntamente com 64kb de texto para comentários em um blog ou site hospedado pelo WordPress. Esse código é então armazenado na base de dados do WordPress. Quando um administrador do site acessa o portal para examinar os comentários, o script é executado.

Então o script malicioso realiza tarefas, como carregar um arquivo sheel (backdoor) no servidor ou adicionar outros usuários com privilégios de administrador. O invasor também é capaz de acessar o servidor usando a backdoor carregada ou pode fazer login usando o novo usuário criado com privilégios de administrador. Tudo isso acontece no plano de fundo, sem o conhecimento ou aprovação do administrador.

Recomendações e Soluções Trend Micro

Aconselhamos que os administradores de sites atualizem suas versões do WordPress para a última versão (4.2.1), que corrige essas vulnerabilidades. Isso geralmente pode ser feito facilmente através do painel do WordPress.

Além disso, a seguinte regra de prevenção XSS do Trend Micro Deep Security cobre essas vulnerabilidades. A regra está disponível no produto imediatamente, impedindo ataques que se aproveitam dessas vulnerabilidades. Também é aconselhável verificar se o seu servidor ainda está comprometido depois de aplicar a regra.

  • 1000552 – Generic Cross Site Scripting (XSS) Prevention