Falhas antigas em plugins do WordPress continuam a ser exploradas em larga escala

A Defiant alertou que três vulnerabilidades de gravidade crítica nos plugins GutenKit e Hunk Companion voltaram a ser exploradas por agentes maliciosos, o que coloca em risco milhares de sites WordPress. Desde o dia 8 de outubro, cerca de nove milhões de tentativas de exploração foram bloqueadas, numa campanha que segue ataques anteriores direcionados a essas mesmas vulnerabilidades.

Corrigidas há mais de um ano, as vulnerabilidades continuam a ser perigosas, com o GutenKit nas versões anteriores à 2.1.1 a ser afetado pelo CVE-2024-9234, que possibilita uploads arbitrários de ficheiros e dá aos cibercriminosos a capacidade de instalar e ativar plugins sem autorização. Já no Hunk Companion, as versões anteriores a 1.8.4 e 1.8.5 apresentam as vulnerabilidades CVE-2024-9707 e CVE-2024-11972, o que permite a instalação não autorizada de plugins e execução remota de código através de outros plugins vulneráveis.

Os atacantes têm distribuído ficheiros ZIP maliciosos, hospedados no GitHub e disfarçados de plugins legítimos que contêm scripts que funcionam como backdoors. Estes scripts permitem aos invasores login automático, como é o caso de administradores, modificação de permissões de ficheiros, download de conteúdos e arquivo de pastas inteiras. Além disso, possibilita a inclusão de ferramentas de desfiguração, deteção de rede e execução remota de código para a instalação de cargas adicionais.

O GutenKit tem cerca de 40 mil instalações ativas, enquanto o Hunk Companion tem oito mil, permanecendo alvos atrativos para os atacantes. Os administradores são aconselhados a atualizar os plugins para as versões corrigidas e verificar os indicadores de intrusão partilhados pelo Defiant para detetar possíveis invasões.