Vulnerabilidade do UpdraftPlus WordPress coloca 3 milhões de sites em risco
Uma vulnerabilidade no UpdraftPlus: WP Backup & Migration Plugin afeta mais de 3 milhões de sites WordPress e permite que invasores não autenticados executem comandos como administradores. A falha permite que invasores carreguem e ativem plug-ins maliciosos, o que pode levar à execução remota de código.
Plug-in de backup e migração UpdraftPlus
O UpdraftPlus Backup & Migration Plugin é uma das soluções de backup WordPress mais amplamente utilizadas. Os proprietários de sites o usam para criar backups, restaurar sites após problemas e migrar sites WordPress entre hosts, servidores e domínios.
O plug-in está instalado ativamente em mais de 3 milhões de sites e oferece suporte ao armazenamento de backup em uma ampla variedade de serviços remotos e em nuvem.
Vulnerável a invasores não autenticados
O que torna esta vulnerabilidade especialmente preocupante é que ela não exige que um invasor faça login e nenhuma conta do WordPress é necessária para explorar a falha. No entanto, nem todos os sites com o UpdraftPlus instalado são necessariamente exploráveis da mesma forma. O changelog do plugin descreve a condição afetada como sites com uma chave Migrator ativa ou chave UpdraftCentral.
De acordo com o comunicado, todas as versões até a versão 1.26.4, inclusive, serão afetadas. A vulnerabilidade existe na função UpdraftPlus_Remote_Communications_V2::wp_loaded.
O problema é classificado como vulnerabilidade de desvio de autenticação. Ignorar autenticação é uma falha de segurança que permite que invasores completamente não autenticados ignorem a verificação de identidade e as verificações de credenciais de login do plug-in. Isso lhes dá a capacidade de realizar ações em nível de administrador sem precisar fazer login, fornecer uma senha ou fornecer credenciais de site válidas.
Os controles de autenticação devem verificar se os comandos recebidos pelo plugin são legítimos e vêm de uma fonte autorizada. Neste caso, as fragilidades na forma como as mensagens das comunicações remotas são validadas permitem contornar essas proteções.
Como funciona a falha de segurança
A vulnerabilidade decorre da validação insuficiente do formato da mensagem de comunicações remotas.
De acordo com o Wordfence:
“O plugin UpdraftPlus: WP Backup & Migration Plugin para WordPress é vulnerável ao Authentication Bypass em todas as versões até 1.26.4 inclusive por meio da função UpdraftPlus_Remote_Communications_V2::wp_loaded.
Isso se deve à validação insuficiente do formato da mensagem de comunicação remota, onde a verificação de assinatura pode ser ignorada e os valores de retorno de descriptografia não verificados são reduzidos a uma chave de criptografia previsível totalmente zero.
Isso permite que invasores não autenticados forjem comandos RPC arbitrários e os executem como administrador conectado, como carregar e ativar um plug-in malicioso, o que, em última análise, leva à execução remota de código.”
O plugin deve verificar se os comandos remotos são autênticos antes de executá-los. O processo de validação pode ser contornado, permitindo que invasores criem comandos forjados que o plug-in trata como instruções legítimas de administrador. Como esses comandos são executados com privilégios de administrador, os invasores podem executar ações que normalmente exigiriam acesso administrativo total.
Além disso, esta parte da descrição do Wordfence precisa ser explicada:
“Isso se deve à validação insuficiente do formato da mensagem de comunicação remota, onde a verificação de assinatura pode ser ignorada e os valores de retorno de descriptografia não verificados colapsam para uma chave de criptografia previsível totalmente zero.”
O que isso significa é que o plug-in tem uma falha crítica de codificação, em que uma falha na verificação de criptografia é padronizada como uma porta aberta em vez de bloquear o sistema.
Execução Remota de Código
Neste contexto específico, a Execução Remota de Código significa que um invasor pode executar código malicioso no servidor de hospedagem do site pela Internet.
A vulnerabilidade permite que um invasor não autenticado ignore a autenticação e forje comandos remotos executados como administrador conectado.
Isso significa que um invasor pode enviar um comando para carregar e ativar um plugin malicioso do WordPress, essencialmente criando um backdoor no site.
Depois que o plugin malicioso for instalado e ativado, o servidor poderá executar o código dentro desse plugin. Isso pode permitir ações como roubo de dados, adição de malware, alteração de arquivos do site ou controle da instalação do WordPress.
O RCE transforma o desvio de autenticação em um risco de controle do site. Depois que um invasor consegue executar código arbitrário no servidor, ele pode controlar o site afetado. Isso pode levar a infecções por malware, desfiguração de sites, acesso não autorizado de administradores, roubo de informações confidenciais ou uso do site comprometido para ataques adicionais.
O comunicado observa especificamente que os invasores podem fazer upload e ativar plug-ins maliciosos, portanto, este é um resultado muito real.
Evidência de ataques ativos
O Wordfence informou que bloqueou 8.172 ataques direcionados a esta vulnerabilidade durante um período de 24 horas.
Embora a atividade de ataque por si só não indique quantos sites foram comprometidos com sucesso, ela mostra que os invasores estão ativamente tentando explorar a falha.
Patch disponível
UpdraftPlus disponibilizou um patch para os usuários atualizarem suas instalações e protegerem seus sites.
O changelog do plugin para a versão 1.26.5 descreve o problema como:
“As versões anteriores continham um defeito que permitia que sites com uma chave Migrator ativa (somente versões pagas) ou chave UpdraftCentral (versões gratuitas e pagas) realizassem operações não autorizadas neles. Todos os usuários devem atualizar imediatamente.”
Os usuários do UpdraftPlus: WP Backup & Migration Plugin devem atualizar para a versão 1.26.5 ou uma versão mais recente o mais rápido possível.
Imagem em destaque por Shutterstock/Toey Andante
