Um grupo organizado de criminosos está a varrer a Internet com o objetivo de identificar potenciais temas vulneráveis da framework do WordPress Epsilson. Depois de identificarem os temas, ataques de injeção são ativados de forma a obterem privilégios sobre o sistema alvo.
O aviso foi alavancado pela equipa de inteligência da Wordfence que identificou esta vaga de ataque e reportou-o pelos seus canais como: Function Injection vulnerabilities in themes using the Epsilon Framework.
Our Threat Intelligence team is tracking a surge of attacks that are targeting themes using the Epsilon Framework. A list of targeted themes is on the official Wordfence blog. https://t.co/5FUSTJ0H4x
— Wordfence (@wordfence) November 17, 2020
A lista completa das versões vulneráveis exploradas massivamente pelos criminosos é a seguinte:
Shapely <=1.2.7
NewsMag <=2.4.1
Activello <=1.4.0
Illdy <=2.1.4
Allegiant <=1.2.2
Newspaper X <=1.3.1
Pixova Lite <=2.0.5
Brilliance <=1.2.7
MedZone Lite <=1.2.4
Regina Lite <=2.0.4
Transcend <=1.1.8
Affluent <1.1.0
Bonkers <=1.0.4
Antreas <=1.0.2
NatureMag Lite <=1.0.5
De acordo com os especialistas, os temas vulneráveis estão instalados em mais de 150.000 websites na Internet.
“On November 17, 2020, our Threat Intelligence team noticed a large-scale wave of attacks against recently reported Function Injection vulnerabilities in themes using the Epsilon Framework, which we estimate are installed on over 150,000 sites.” reads the analysis published by WordFence. “So far today, we have seen a surge of more than 7.5 million attacks against more than 1.5 million sites targeting these vulnerabilities, coming from over 18,000 IP addresses. While we occasionally see attacks targeting a large number of sites, most of them target older vulnerabilities.”
As vulnerabilidades visadas pelos agentes da ameaça podem permitir que eles controlem na totalidade os websites alvo através de uma cadeira de infeção (kill chain) que acaba na execução de um código remoto no servidor (RCE).
A equipa de investigadores da Wordfence ainda não divulgou detalhes adicionais sobre o ataque e exploit uma vez que ainda parece estar numa fase de testes por parte dos criminosos.
Nesse sentido, os investigadores apontaram ainda que a grande maioria desses ataques parecem ser ataques de pura sondagem, com o objetivo de determinar se um website está a executar um tema vulnerável.
“These attacks use POST requests to admin-ajax.php and as such do not leave distinct log entries, though they will be visible in Wordfence Live Traffic.” continues the report.
Mitigação
Os administradores de websites que executem versões vulneráveis dos temas devem atualizá-los de imediato de forma a evitar explorações in-the-wild por parte de agentes de ameaça.
Caso não exista uma patch específico que mitigue o problema, é aconselhado utilizarem outro tema como forma de manterem o seu sistema fora da mira dos atacantes.