🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers sequestraram o sistema de atualização do plugin Smart Slider 3 Pro para WordPress e Joomla e lançaram uma versão maliciosa com vários backdoors.
O desenvolvedor afirma que apenas a versão Pro 3.5.1.35 do plug-in é afetada e recomenda mudar imediatamente para a versão mais recente, atualmente 3.5.1.36, ou 3.5.1.34 e anteriores.
Além de instalar backdoors em vários locais, a atualização maliciosa criou um usuário oculto com permissões de administrador e roubou dados confidenciais.
O Smart Slider 3 para WordPress é usado em mais de 900.000 sites para criação de controles deslizantes responsivos por meio de um editor de controle deslizante ao vivo, apresentando uma grande seleção de layouts e designs.
De acordo com o fornecedor, o agente da ameaça distribuiu a atualização maliciosa em 7 de abril, e alguns sites podem tê-la instalado.
Uma análise da PatchStack, uma empresa focada na proteção de WordPress e software de código aberto, observa que o malware é um kit de ferramentas completo e multicamadas incorporado no arquivo principal do plug-in, preservando a funcionalidade normal do Smart Slider.
Os pesquisadores notaram que o kit malicioso permite que um invasor remoto execute comandos sem autenticação por meio de cabeçalhos HTTP criados. Ele também inclui um segundo backdoor autenticado com avaliação de PHP e execução de comandos do sistema operacional, além de roubo automatizado de credenciais.
O malware consegue persistência por meio de várias camadas, sendo uma delas a criação de uma conta de administrador oculta e o armazenamento de credenciais no banco de dados.
Criando uma conta de administrador ocultaFonte: PatchStack
Além disso, ele cria um diretório 'mu-plugins' e um plug-in obrigatório com um nome de arquivo que finge ser um componente de cache legítimo.
Os plug-ins obrigatórios são especiais porque são carregados automaticamente, não podem ser desativados no painel do WordPress e não são visíveis na seção de plug-ins.
PatchStack observa que o kit malicioso também planta um backdoor no arquivo functions.php do tema ativo, o que permite que ele persista enquanto o tema estiver ativo.
Outra camada de persistência é injetar no diretório wp-includes um arquivo PHP com um nome que imita uma classe principal legítima do WordPress.
“Ao contrário das outras camadas de persistência, esse backdoor não depende do banco de dados do WordPress, mas lê sua chave de autenticação em um arquivo .cache_key armazenado no mesmo diretório”, explicam os pesquisadores do PatchStack.
Como tal, alterar as credenciais do banco de dados não neutraliza o backdoor, que continua funcionando “mesmo que o WordPress não consiga inicializar totalmente”.
O fornecedor emitiu um aviso semelhante para instalações do Joomla, dizendo que o código malicioso presente na versão 3.5.1.35 do plug-in pode criar uma conta de administrador oculta (geralmente com o prefixo wpsvc_), instalar backdoors adicionais nos diretórios /cache e /media e roubar informações e credenciais do site.
Ações recomendadas
A atualização maliciosa foi distribuída aos usuários em 7 de abril, mas a equipe do Smart Slider sugere 5 de abril como a data mais segura para a restauração do backup, para garantir que as diferenças de fuso horário sejam consideradas em todos os casos.
“Uma violação de segurança afetou o sistema de atualização responsável pela distribuição do Smart Slider 3 Pro para WordPress”, diz a divulgação do fornecedor.
Se nenhum backup estiver disponível, é recomendado remover o plugin comprometido e instalar uma versão limpa (3.5.1.36).
Os administradores que encontrarem a versão do plugin comprometida devem assumir o comprometimento total do site e tomar as seguintes medidas:
Exclua usuários mal-intencionados, arquivos e entradas de banco de dados
Reinstale o núcleo, plug-ins e temas do WordPress de fontes confiáveis
Gire todas as credenciais (WP, DB, FTP/SSH, hospedagem, email)
Regenerar chaves de segurança do WordPress (sais)
Verifique se há malware restante e revise os registros
O fornecedor também fornece um guia de limpeza manual de várias etapas para WordPress e Joomla, que começa com a colocação do site no modo de manutenção e o backup dele.
Os administradores devem então limpar o site de usuários administradores não autorizados, remover todos os componentes maliciosos e instalar todos os arquivos principais, plug-ins e temas. Também é recomendável redefinir todas as senhas e verificar se há malware adicional.
As recomendações finais incluem fortalecer o site ativando a proteção de autenticação de dois fatores (2FA), atualizando componentes para as versões mais recentes, restringindo o acesso de administrador e usando senhas fortes e exclusivas.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
O desenvolvedor afirma que apenas a versão Pro 3.5.1.35 do plug-in é afetada e recomenda mudar imediatamente para a versão mais recente, atualmente 3.5.1.36, ou 3.5.1.34 e anteriores.
Além de instalar backdoors em vários locais, a atualização maliciosa criou um usuário oculto com permissões de administrador e roubou dados confidenciais.
O Smart Slider 3 para WordPress é usado em mais de 900.000 sites para criação de controles deslizantes responsivos por meio de um editor de controle deslizante ao vivo, apresentando uma grande seleção de layouts e designs.
De acordo com o fornecedor, o agente da ameaça distribuiu a atualização maliciosa em 7 de abril, e alguns sites podem tê-la instalado.
Uma análise da PatchStack, uma empresa focada na proteção de WordPress e software de código aberto, observa que o malware é um kit de ferramentas completo e multicamadas incorporado no arquivo principal do plug-in, preservando a funcionalidade normal do Smart Slider.
Os pesquisadores notaram que o kit malicioso permite que um invasor remoto execute comandos sem autenticação por meio de cabeçalhos HTTP criados. Ele também inclui um segundo backdoor autenticado com avaliação de PHP e execução de comandos do sistema operacional, além de roubo automatizado de credenciais.
O malware consegue persistência por meio de várias camadas, sendo uma delas a criação de uma conta de administrador oculta e o armazenamento de credenciais no banco de dados.
Criando uma conta de administrador ocultaFonte: PatchStack
Além disso, ele cria um diretório 'mu-plugins' e um plug-in obrigatório com um nome de arquivo que finge ser um componente de cache legítimo.
Os plug-ins obrigatórios são especiais porque são carregados automaticamente, não podem ser desativados no painel do WordPress e não são visíveis na seção de plug-ins.
PatchStack observa que o kit malicioso também planta um backdoor no arquivo functions.php do tema ativo, o que permite que ele persista enquanto o tema estiver ativo.
Outra camada de persistência é injetar no diretório wp-includes um arquivo PHP com um nome que imita uma classe principal legítima do WordPress.
“Ao contrário das outras camadas de persistência, esse backdoor não depende do banco de dados do WordPress, mas lê sua chave de autenticação em um arquivo .cache_key armazenado no mesmo diretório”, explicam os pesquisadores do PatchStack.
Como tal, alterar as credenciais do banco de dados não neutraliza o backdoor, que continua funcionando “mesmo que o WordPress não consiga inicializar totalmente”.
O fornecedor emitiu um aviso semelhante para instalações do Joomla, dizendo que o código malicioso presente na versão 3.5.1.35 do plug-in pode criar uma conta de administrador oculta (geralmente com o prefixo wpsvc_), instalar backdoors adicionais nos diretórios /cache e /media e roubar informações e credenciais do site.
Ações recomendadas
A atualização maliciosa foi distribuída aos usuários em 7 de abril, mas a equipe do Smart Slider sugere 5 de abril como a data mais segura para a restauração do backup, para garantir que as diferenças de fuso horário sejam consideradas em todos os casos.
“Uma violação de segurança afetou o sistema de atualização responsável pela distribuição do Smart Slider 3 Pro para WordPress”, diz a divulgação do fornecedor.
Se nenhum backup estiver disponível, é recomendado remover o plugin comprometido e instalar uma versão limpa (3.5.1.36).
Os administradores que encontrarem a versão do plugin comprometida devem assumir o comprometimento total do site e tomar as seguintes medidas:
Exclua usuários mal-intencionados, arquivos e entradas de banco de dados
Reinstale o núcleo, plug-ins e temas do WordPress de fontes confiáveis
Gire todas as credenciais (WP, DB, FTP/SSH, hospedagem, email)
Regenerar chaves de segurança do WordPress (sais)
Verifique se há malware restante e revise os registros
O fornecedor também fornece um guia de limpeza manual de várias etapas para WordPress e Joomla, que começa com a colocação do site no modo de manutenção e o backup dele.
Os administradores devem então limpar o site de usuários administradores não autorizados, remover todos os componentes maliciosos e instalar todos os arquivos principais, plug-ins e temas. Também é recomendável redefinir todas as senhas e verificar se há malware adicional.
As recomendações finais incluem fortalecer o site ativando a proteção de autenticação de dois fatores (2FA), atualizando componentes para as versões mais recentes, restringindo o acesso de administrador e usando senhas fortes e exclusivas.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #atualizações #do #smart #slider #sequestradas #para #enviar #versões #maliciosas #do #wordpress #e #joomla
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário