Reading Time: 2 minutes
Experts em segurança do Wordfence descobriram websites do WordPress comprometidos por meio de vulnerabilidades zero-Day no plugin Total Donations.

O plug-in Total Donations do WordPress foi abandonado por seus programadores e por esse motivo os especialistas da WordFence recomendam removê-lo depois de eles terem descoberto várias falhas de dia zero e que têm sido exploradas por agentes de ameaça worldwide.

A empresa de segurança Wordfense notificou que os agentes de ameaça estão a explorar os dia-zero presentes no plugin Total Donations para obter acesso administrativo a websites que executam o popular CMS WordPress.

Total-Donations-plugin

Os especialistas tentaram entrar em contato com a equipa de desenvolvimento do plug-in, mas não receberam qualquer resposta.

 

“The Wordfence Threat Intelligence team recently identified multiple critical vulnerabilities in the commercial Total Donations plugin for WordPress. These vulnerabilities, present in all known versions of the plugin up to and including 2.0.5, are being exploited by malicious actors to gain administrative access to affected WordPress sites.” reads the security advisory published by Wordfence.

“It is our recommendation that site owners using Total Donations delete–not just deactivate–the vulnerable plugin as soon as possible to secure their sites,” 

 

As falhas de dia zero afetam todas as versões conhecidas do plug-in do WordPress,  incluindo o 2.0.5.
Os especialistas identificaram as falhas como CVE-2019-6703.
Eles descobriram ainda que o Total Donations regista um total de 88 ações únicas no AJAX do WordPress, e que podem ser acedidas por utilizadores remotos não autenticados, consultando o endpoint típico: /wp-admin/admin-ajax.php.
“We have determined that 49 of these 88 actions can be exploited by a malicious actor to access sensitive data, make unauthorized changes to a site’s content and configuration, or take over a vulnerable site entirely. ” continues the analysis.
Esta falha é bastante perigosa e crítica, pois permite a um utilizador remoto e não autenticado por ex., habilitar o registo de utilizadores por padrão no WordPress.
The flaws could be exploited by an unauthenticated attacker to send requests to the AJAX event to call a specific action to update arbitrary WordPress option values and take over the website. This can be used to enable new user registration and set the default role for new users to Administrator.

 

Os atacantes podem ainda executar muitas outras ações mal-intencionadas, incluindo o acesso a listas de contactos da Constant Contact e Mailchimp. Também podem modificar ou excluir planos de pagamento Stripe porque o Total Donations pode ligar-se ao Stripe como sendo um processador de pagamento.

Os atacantes podem enviar emails de teste para um endereço arbitrário, uma ação mal-intencionada que pode ser automatizada para disparar condiçõe sDoS para emails de saída, fazendo disparar os limites de retransmissão de email de um host ou fazendo com que o website comprometido seja incluído em blacklists de spam.

“These security flaws are considered zero-day vulnerabilities due to their active exploitation and a lack of an available patch,” researchers explained. “Unfortunately, the process of making this contact revealed that a solution may not ever be coming.”