Uma falha de segurança no Plugin Yellow Pencil do Wordpress, descoberta expõe dezenas de milhares de sites.
Milhares de sites WordPress usando o Plugin Yellow Pencil foram expostos e hackeados/invadidos devido a uma vulnerabilidade de escalonamento de privilégios no plugin.
A falha pode ser explorada por invasores para atualizar opções arbitrárias em instalações vulneráveis.
No início desta semana, o plugin foi removido do repositório WordPress.org. Estima-se que o plugin esteja instalado em mais de 30.000 sites.
Especialistas da empresa de segurança Wordfence observaram um grande volume de tentativas de explorar a vulnerabilidade depois que um pesquisador de segurança divulgou publicamente esta semana prova de conceito (POC) para um conjunto de duas vulnerabilidades de software que afetam o plugin.
“Na terça-feira, um pesquisador de segurança tomou a decisão irresponsável e perigosa de publicar um post no blog, incluindo uma prova de conceito (POC), detalhando como explorar um conjunto de duas vulnerabilidades de software presentes no plugin”, diz o post publicado pelo Wordfence.
“Estamos vendo um grande volume de tentativas de explorar essa vulnerabilidade. As façanhas se assemelham muito ao POC postado pelo pesquisador irresponsável. ”
Os especialistas disseram que a vulnerabilidade de escalonamento de privilégios existe no arquivo yellow-pencil.php. O arquivo é usado para verificar se o parâmetro de solicitação yp_remote_get foi configurado e, se tiver, o plugin escalará os privilégios dos usuários para o de um administrador.
A autenticação do o usuário poderia operar com privilégios de administrador, por exemplo, ele poderia alterar as opções arbitrárias.
Especialistas encontraram semelhanças com outras campanhas recentemente observadas pelos especialistas em segurança, como os ataques que tentaram explorar vulnerabilidades dos plugins de Social Warfare , Easy WP SMTP e Yuzo Related Posts .
"Estamos novamente vendo semelhanças entre essas tentativas de exploração e ataques a vulnerabilidades descobertas recentemente nos plugins Social Warfare, Easy WP SMTP e Yuzo Related Posts", continua a análise. "Exploits até agora estão usando um script malicioso hospedado em um domínio hellofromhony [.] com, que resolve para 176.123.9 [.] 53. Esse endereço IP foi usado nos outros ataques mencionados. Estamos confiantes de que todas as quatro campanhas de ataque são o trabalho do mesmo ator de ameaça ”.
“Como continua sendo o caso, um pesquisador de segurança insatisfeito continua colocando em risco a comunidade WordPress divulgando publicamente POCs para vulnerabilidades de dia zero”, conclui a Wordfence.
"Os proprietários de sites que executam o plugin Plugin Yellow Pencil são convidados a removê-lo de seus sites imediatamente."
Desta forma a FRHOST Soluções para Internet realizem uma verificação e remoção imediata, caso utilizem o plugin Plugin Yellow Pencil.
Além disto contate imediatamente do desenvolvedor do seu tema, caso o plugin venha instalado automaticamente e ou contate o desenvolvedor do plugin se o contratou separadamente.
Portanto, fique atento!