Especialistas em segurança revelaram a existência de uma vulnerabilidade num plugin do WordPress que tem sido ativamente explorada. O objetivo passa por injetar código malicioso nos sites em causa para assim atingir os seus visitantes.
Segundo o que é avançado, o resultado poderá variar, mas o objetivo principal é redirecionar os visitantes para outras fontes maliciosas. Os exemplos referidos são páginas de phishing ou outras fontes de malware.
Plugin Popup Builder está na origem desta falha de segurança
Tal como é referido, os hackers servem-se de uma falha de segurança no plugin Popup Builder para levar a cabo os seus intentos maliciosos. Importa., no entanto, sublinhar que esta só afeta versões mais antigas do plugin, mais concretamente, a versão 4.2.3 e anteriores.
A falha de segurança em causa é conhecida como CVE-2023-6000. Trata-se de uma vulnerabilidade se script entre sites e foi originalmente descoberta em novembro de 2023.
Nessa ocasião, foi referido que esta vulnerabilidade comprometeu mais de 6700 sites. Contudo, tal como aponta o blog Sucuri, regista-se agora uma nova vaga de infeções, o que significa que os responsáveis pelo plugin em causa ainda não resolveram o problema.
De acordo com o Sucuri, observou-se um pico de infeções pela vulnerabilidade CVE-2023-6000 nas últimas três semanas. Os seus dados apontam para a existência de 1170 sites infetados, contudo, os dados da PublicWWW apontam para 3329 infeções.
Já o WordPress revela que, atualmente, existem mais de 80 mil sites ativos com a versão comprometida do Popup Builder. Portanto, o volume de ataques pode aumentar caso os administradores não façam a sua atualização.
Sites vulneráveis redirecionam visitantes para domínios comprometidos
Tal como já mencionado, as ações perpetradas pelos hackers não são lineares, podendo variar consoante o caso. No entanto, o padrão é redirecionar os visitantes para outros domínios para a recolha de dados ou injeção de outros malwares.
Os analistas observaram que muitos ataques chegam dos domínios "ttincoming.traveltraffic[.]cc" e "host.cloudsonicwave[.]com". Com efeito, uma medida preventiva pode passar pelo bloqueio dos mesmos.
Cabe agora aos administradores de sites Wordpress com o plugin Popup Builder travar esta onda de infeções. Para isso, basta que atualizem o seu plugin para a versão 4.2.7 que aborda esta e outras falhas de segurança conhecidas.
Para os leitores, o conselho passa por estarem atentos aos sites que visitam, sobretudo aqueles que solicitam informações pessoais ou a descarga de algum ficheiro. Ser preventivo ao invés de ser reativo é a melhor opção para evitar esquemas fraudulentos.
