Vulnerabilidade do plug-in de segurança do WordPress põe em risco mais de 4 milhões de sites
Uma vulnerabilidade crítica foi descoberta em um popular plugin de segurança do WordPress com mais de 4 milhões de instalações. A falha permite que os invasores façam login como qualquer usuário, incluindo administradores, e obtenham acesso total às suas permissões no nível do site. Atribuído com uma pontuação de ameaça de 9,8 em 10, ele destaca a facilidade de exploração e o potencial de comprometimento total do site, incluindo injeção de malware, alterações não autorizadas de conteúdo e ataques aos visitantes do site.
Segurança realmente simples
Really Simple Security é um plugin para WordPress que foi desenvolvido para melhorar a resistência de sites WordPress contra exploits (chamados de fortalecimento de segurança), permitir autenticação de dois fatores, detectar vulnerabilidades e também gerar um certificado SSL. Uma das razões pelas quais ele se autodenomina leve é porque foi projetado como um software modular que permite aos usuários escolher quais melhorias de segurança ativar para que (em teoria) os processos para recursos desativados não carreguem e tornem o site lento. É uma tendência popular em plug-ins do WordPress que permite que um software faça muitas coisas, mas apenas execute as tarefas exigidas pelo usuário.
O plugin é promovido por meio de análises de afiliados e, de acordo com a visão geral do Google AI, recebe críticas altamente positivas. Mais de 97% das avaliações no repositório oficial do WordPress são classificadas com cinco estrelas, a classificação mais alta possível, com menos de 1% classificando o plugin como 1 estrela.
O que deu errado?
Uma falha de segurança no plug-in o torna vulnerável ao desvio de autenticação, que permite que um invasor acesse áreas de um site que exigem nome de usuário e senha sem a necessidade de fornecer credenciais. A vulnerabilidade específica do Really Simple Security permite que um invasor obtenha acesso de qualquer usuário registrado do site, incluindo o administrador, simplesmente sabendo o nome do usuário.
Isso é chamado de vulnerabilidade de acesso não autenticado, um dos tipos de falhas mais graves porque geralmente é mais fácil de explorar do que uma falha “autenticada”, que exige que um invasor obtenha primeiro o nome de usuário e a senha de um usuário registrado.
Wordfence explica o motivo exato da vulnerabilidade:
“Os plug-ins Really Simple Security (Free, Pro e Pro Multisite) para WordPress são vulneráveis ao desvio de autenticação nas versões 9.0.0 a 9.1.1.1. Isso se deve ao tratamento inadequado de erros de verificação do usuário nas ações da API REST de dois fatores com a função ‘check_login_and_get_user’. Isso possibilita que invasores não autenticados façam login como qualquer usuário existente no site, como um administrador, quando a configuração “Autenticação de dois fatores” estiver habilitada (desabilitada por padrão).
O Wordfence bloqueou 310 ataques direcionados a esta vulnerabilidade nas últimas 24 horas.”
Curso de ação recomendado:
Wordfence incentiva os usuários do plugin a atualizar para Really Simple Security versão 9.1.2 (ou versão superior).
O changelog do plugin Really Simple Security anuncia de forma responsável o motivo da atualização do software:
“Registro de alterações
9.1.2
segurança: desvio de autenticação”
Leia o comunicado de segurança do Wordfence:
Segurança realmente simples (gratuito, Pro e Pro Multisite) 9.0.0 – 9.1.1.1 – Ignorar autenticação
Imagem em destaque por Shutterstock/Tithi Luadthong