Na semana passada, portais de segurança digital veicularam a informação de que cibercriminosos estavam explorando ativamente uma vulnerabilidade zero-day crítica na versão 6.8 e anteriores do plugin File Manager, bem como nas versões Pro 7.6 a 7.8. A vulnerabilidade permite que usuários não autenticados executem códigos de forma remota e carreguem arquivos maliciosos em sites que possuem uma versão desatualizada do plugin. O File Manager é responsável pelo gerenciamento de arquivos do WordPress.

Segundo a equipe do Seravo, “caso um cibercriminoso consiga explorar a vulnerabilidade, é possível roubar dados privados, destruir o site ou utilizar as informações para realizar outros ataques em outros sites ou na infraestrutura das páginas atacadas”. Felizmente, no momento da descoberta da falha, a equipe de desenvolvedores do plugin, que contava com mais de 700.000 instalações ativas, rapidamente lançou a atualização 6.9 do plugin que corrige a vulnerabilidade.

No entanto, na última sexta-feira (04), a equipe do Wordfence informou que detectou um aumento significativo no número de ataques tentando explorar a falha em sites que não instalaram a versão mais recente do plugin. De acordo os dados obtidos, desde que a vulnerabilidade foi explorada pela primeira vez até o dia 4 de setembro, 1,7 milhão de ataques foram registrados nos sites, e aqueles que não possuem o plugin instalado estão sendo observados ​​por bots que buscam detectar versões vulneráveis ​​do plugin File Manager, explicou a empresa. Mas, assim como o Wordfence deixa claro, seus registros são baseados em 3 milhões de sites em WordPress protegidos por eles, portanto, o verdadeiro alcance desses ataques é ainda maior do que seus registros indicam.

De acordo com o blog da Sucuri, outra empresa que analisou a falha, no dia 31 de agosto foi registrado uma média de 1.500 ataques por hora que tentavam explorar a vulnerabilidade, e um dia depois, quando a atualização foi lançada, o número médio de ataques por hora subiu para 2.500. Enquanto que no dia 02 de setembro, a equipe registrou picos de mais de 10.000 ataques por hora. A empresa considera que “a exploração da falha cresceu rapidamente devido ao seu alto impacto e baixos requisitos”.

Segundo os dados estatísticos apresentados no site do WordPress sobre o File Manager, apenas 21,3% dos sites que possuem esse plugin instalado estão executando a versão 6.9 que inclui o patch de atualização (usado para a correção da falha), portanto, ainda há um grande número de sites vulneráveis.

Algumas vítimas da exploração dessa vulnerabilidade explicam no fórum de suporte do WordPress que depois de serem afetadas por um desses ataques, seus sites foram usados para redirecionar usuários para outras páginas.

A recomendação é que os donos de sites em WordPress, que usam o plugin afetado, atualizem suas plataformas para a última versão disponível. No caso de serem vítimas da vulnerabilidade, sigam as instruções deixadas pela equipe de desenvolvedores do File Manager.