🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O plug-in Quick Page/Post Redirect, instalado em mais de 70.000 sites WordPress, teve um backdoor adicionado há cinco anos que permite injetar código arbitrário nos sites dos usuários.
O malware foi descoberto por Austin Ginder, fundador do provedor de hospedagem WordPress Anchor, que o encontrou depois que 12 sites infectados em sua frota acionaram um alerta de segurança.
O plugin Quick Page/Post Redirect, disponÃvel no WordPress.org há vários anos, é um plugin utilitário básico usado para criar redirecionamentos em postagens, páginas e URLs personalizados.
WordPress.org retirou temporariamente o plugin do diretório enquanto se aguarda uma revisão. Não está claro se o autor do plugin introduziu o backdoor ou se ele foi comprometido por terceiros.
Ginder explica que as versões oficiais 5.2.1 e 5.2.2 do plug-in, lançadas entre 2020 e 2021, incluÃam um mecanismo oculto de autoatualização que apontava para um domÃnio de terceiros, anadnet[.]com, que permitia enviar código arbitrário para fora do controle do WordPress.org.
Em fevereiro de 2021, o autoatualizador malicioso foi removido das versões subsequentes do plug-in no WordPress.org, antes que os revisores de código tivessem a chance de examiná-lo.
Em março de 2021, de acordo com Ginder, sites executando Quick Page/Post Redirect 5.2.1 e 5.2.2 receberam silenciosamente uma versão 5.2.3 adulterada daquele servidor externo, que introduziu um backdoor passivo.
No entanto, a compilação do servidor 'w.anadnet[.]com' com o código backdoor extra tinha um hash diferente da mesma versão do plug-in proveniente do WordPress.org.
O backdoor passivo é acionado apenas para usuários desconectados para ocultar sua atividade dos administradores. Ele está conectado ao ‘the_content’ e busca dados do servidor ‘anadnet’, provavelmente usado para operações de spam de SEO.
“O mecanismo real era o parasita SEO camuflado. O plugin estava alugando a classificação do Google em setenta mil sites para quem estava operando aquele backchannel em 2021”, explicou Ginder.
O perigo real para os sites afetados, porém, vem do próprio mecanismo de atualização, que permitiu a execução arbitrária de códigos sob demanda. Esse mecanismo ainda está presente em sites que usam o plug-in, mas está inativo porque o subdomÃnio externo malicioso de comando e controle não é resolvido. O domÃnio está ativo, no entanto.
A solução para os usuários afetados é desinstalar o plugin e substituÃ-lo por uma cópia limpa da versão 5.2.4 proveniente do WordPress.org quando estiver disponÃvel novamente.
Ginder incluiu uma mensagem para quem está por trás do backdoor, pedindo-lhes que façam a coisa certa agora e publiquem um manifesto de atualização estático que força todas as instalações afetadas a atualizarem automaticamente para a versão limpa do WordPress.org, removendo efetivamente o backdoor de sites previamente comprometidos.
O pesquisador alerta que o Quick Page/Post Redirect ainda possui 70 mil instalações com verificação de atualização apontando para o servidor ‘anadnet’.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O malware foi descoberto por Austin Ginder, fundador do provedor de hospedagem WordPress Anchor, que o encontrou depois que 12 sites infectados em sua frota acionaram um alerta de segurança.
O plugin Quick Page/Post Redirect, disponÃvel no WordPress.org há vários anos, é um plugin utilitário básico usado para criar redirecionamentos em postagens, páginas e URLs personalizados.
WordPress.org retirou temporariamente o plugin do diretório enquanto se aguarda uma revisão. Não está claro se o autor do plugin introduziu o backdoor ou se ele foi comprometido por terceiros.
Ginder explica que as versões oficiais 5.2.1 e 5.2.2 do plug-in, lançadas entre 2020 e 2021, incluÃam um mecanismo oculto de autoatualização que apontava para um domÃnio de terceiros, anadnet[.]com, que permitia enviar código arbitrário para fora do controle do WordPress.org.
Em fevereiro de 2021, o autoatualizador malicioso foi removido das versões subsequentes do plug-in no WordPress.org, antes que os revisores de código tivessem a chance de examiná-lo.
Em março de 2021, de acordo com Ginder, sites executando Quick Page/Post Redirect 5.2.1 e 5.2.2 receberam silenciosamente uma versão 5.2.3 adulterada daquele servidor externo, que introduziu um backdoor passivo.
No entanto, a compilação do servidor 'w.anadnet[.]com' com o código backdoor extra tinha um hash diferente da mesma versão do plug-in proveniente do WordPress.org.
O backdoor passivo é acionado apenas para usuários desconectados para ocultar sua atividade dos administradores. Ele está conectado ao ‘the_content’ e busca dados do servidor ‘anadnet’, provavelmente usado para operações de spam de SEO.
“O mecanismo real era o parasita SEO camuflado. O plugin estava alugando a classificação do Google em setenta mil sites para quem estava operando aquele backchannel em 2021”, explicou Ginder.
O perigo real para os sites afetados, porém, vem do próprio mecanismo de atualização, que permitiu a execução arbitrária de códigos sob demanda. Esse mecanismo ainda está presente em sites que usam o plug-in, mas está inativo porque o subdomÃnio externo malicioso de comando e controle não é resolvido. O domÃnio está ativo, no entanto.
A solução para os usuários afetados é desinstalar o plugin e substituÃ-lo por uma cópia limpa da versão 5.2.4 proveniente do WordPress.org quando estiver disponÃvel novamente.
Ginder incluiu uma mensagem para quem está por trás do backdoor, pedindo-lhes que façam a coisa certa agora e publiquem um manifesto de atualização estático que força todas as instalações afetadas a atualizarem automaticamente para a versão limpa do WordPress.org, removendo efetivamente o backdoor de sites previamente comprometidos.
O pesquisador alerta que o Quick Page/Post Redirect ainda possui 70 mil instalações com verificação de atualização apontando para o servidor ‘anadnet’.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #o #popular #plugin #de #redirecionamento #do #wordpress #escondeu #backdoor #inativo #por #anos
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário