Uma vulnerabilidade no plug-in para WordPress "WP GDPR Compliance" tem sido explorada por cibercriminosos. Esse plugin é usado pelos administradores de sites para cumprir com os requisitos do Regulamento Geral sobre a Proteção de Dados (GDPR). A vulnerabilidade começou como uma zero-day, mas há mais ou menos seis dias foi lançada uma atualização que resolve o bug para a versão 1.4.3.

Desde outubro de 2018, os criminosos vêm explorando essa falha que permite instalar backdoors e assumir o controle do site, publicou o portal ZDNet.

O plug-in, que registra mais de 100.000 instalações ativas, adiciona uma funcionalidade para cumprir com os requisitos do GDPR por outros plug-ins que lidam com dados do usuário e são amplamente usados ​​em sites produzidos em WordPress - como o Contact Form 7 (usado para preencher formulários), o WooCommerce ou a seção de comentários no WordPress, entre outros.

Segundo o portal ZDNet, há mais ou menos três semanas atrás, os cibercriminosos descobriram uma vulnerabilidade nesse plug-in e o exploraram para acessar sites em WordPress e instalar scripts de backdoor.

Em um primeiro momento, no fórum de suporte do WordPress, um tópico de discussão começou a alertar sobre a existência de um problema de segurança em que os usuários declararam que um plug-in desconhecido (2MB Autocode) foi instalado e ativado sem o consentimento dos administradores dos sites, mas foi descoberto que esse outro plug-in aparentemente foi instalado como payload de segunda instância em alguns sites afetados. De acordo com pesquisas realizadas pela equipe de segurança do WordPress, o incidente os levava ao plug-in WP GDPR Compliance, que era o único plug-in comum que tinham todos os sites comprometidos.

Apesar do WP GDPR Compliance ter sido removido do repositório de plug-ins do WordPress, o mesmo já está disponível novamente depois que seu desenvolvedor publicou uma atualização (1.4.3) que corrige o bug.

Embora já exista um patch disponível, os sites que continuam executando a versão 1.4.2 permanecem expostos à falha. De acordo com uma recente análise realizada por especialistas em segurança da Defiant, uma empresa de segurança especializada para WordPress e responsável pelo plug-in de firewall para WordPress chamado Wordfence, continuam sendo detectados novos ataques direcionados ao WP GDPR Compliance.

De acordo com o que os especialistas detectaram, existem dois tipos de ataques que tentam se aproveitar desse bug. O primeiro é um ataque que permite que os cibercriminosos possam criar uma nova conta de usuário (geralmente chamado de "t2trollherten".), atribuir privilégios de administrador e, em seguida, alterar a configuração para voltar ao normal e instalar plug-ins maliciosos ou "temas" para WordPress que contenham algum malware.

O segundo ataque fornece ao cibercriminoso um backdoor persistente que pode ser substituído se for descoberto ou se for eliminado. Esse ataque tira proveito do bug do WP GDPR Compliance para adicionar uma nova tarefa maliciosa ao WP-Cron shedule de um site. Isso faz com que seja possível explorar uma tecnologia que permite a um site executar tarefas programadas, como verificar atualizações ou publicar novos conteúdos. Os cibercriminosos usaram o WP-Cron para baixar e instalar o 2MB Autocode plug-in, que seria usado para fazer o upload do script de outro backdoor para o site.

Embora esse segundo tipo de ataque deva envolver uma tarefa mais silenciosa, foi exatamente a aplicação dessa técnica que levou à descoberta da vulnerabilidade no WP GDPR Compliance. Isso ocorreu porque a rotina falhou ao não remover o 2MB Autocode plug-in e os usuários viram o surgimento de um novo plug-in em seus sites.

Apesar de, em um primeiro momento, os cibercriminosos aparentemente não estarem realizando nenhuma ação maliciosa com as páginas afetadas, recentemente o site Securi divulgou detalhes que demostram o contrário, já que os invasores estão modificando a URL de vários dos sites atacados. Na sexta-feira (09) foi detectado que os cibercriminosos modificaram a URL de vários sites pelo endereço hxxp://erealitatea[.]net, enquanto ontem (13) pesquisadores do mesmo site publicaram que agora estão alterando a URL dos sites para o endereço hxxps://pastebin[.]com/raw/V8SVyu2P?.

Portanto, é recomendável que todos os proprietários ou administradores de um site em WordPress atualizem o plug-in WP GDPR Compliance para a versão 1.4.3.