Reading Time: 2 minutes

Os hackers têm explorado uma falha num plugin para compliance com o GDPR para tomar total controlo dos websites.

Os hackers têm explorado uma falha num plugin para compliance com o GDPR para tomar total controlo dos websites.

O plugin do WordPress GDPR Compliance foi usado por mais de 100.000 websites para estarem compliant com o GDPR. Este plugin atualmente suporta Contact Form 7 (>= 4.6), Gravity Forms (>= 1.9), WooCommerce (>= 2.5.0) e WordPress Comments.

GDPR-Compliance-Plugin

Investigadores da Wordfence reportaram que o plugin GDPR Compliance está vulnerável e pode ser explorado por atacantes não autenticados para adicionar contas de utilizador com privilégios de administração.

“The reported vulnerabilities allow unauthenticated attackers to achieve privilege escalation, allowing them to further infect vulnerable sites. Any sites making use of this plugin should make it an immediate priority to update to the latest version, or deactivate and remove it if updates are not possible.” reads the analysis published by Wordfence.

“We’ve already begun seeing cases of live sites infected through this attack vector. In these cases, the ability to update arbitrary options values is being used to install new administrator accounts onto the impacted sites.”

 

Investigadores da Wordfence observaram dois tipos de ataques. Em um cenário de ataque, os invasores exploram as vulnerabilidades para modificar a opção “users_can_register” e que permite que novos utilizadores sejam registados. Os invasores também mudam o papel de novos utilizadores para “administrador”, para obter privilégios totais nos websites.

Os invasores usam a permissão de administração para carregarem uma webshell nos sistemas vulneráveis.

“By leveraging this flaw to set the users_can_register option to 1, and changing the default_role of new users to “administrator”, attackers can simply fill out the form at /wp-login.php?action=register and immediately access a privileged account. From this point, they can change these options back to normal and install a malicious plugin or theme containing a web shell or other malware to further infect the victim site.” continues the analysis.

 

Em um segundo cenário de ataque observado pelos investigadores do Wordfence, os atacantes usaram uma técnica mais complexa. Os atacantes instalaram backdoors injetando ações mal-intencionadas na agenda WP-Cron de um website para estabelecer um backdoor persistente.

“In several of the cases we’ve triaged since the disclosure of this vulnerability, we’ve seen malicious administrator accounts present with the variations of the username t2trollherten. This intrusion vector has also been associated with uploaded webshells named wp-cache.php. While these are common IOCs (Indicators of Compromise), these exploits are of course subject to change as attacks grow in sophistication.” states the analysis.

 

Os websites comprometidos podem ser usados pelos hackers para várias atividades ilegais, como phishing, spamming, ou até vender o acesso em fóruns da darkweb.

A equipa de desenvolvimento do plugin desativou-o na sua store oficial. A nova release foi lançada a 7 de novembro e remenda as vulnerabilidades abordadas.