Recentemente foi publicada uma falha de Cross Site Scripting (XSS) no plugin Live Chat with Facebook Messenger conforme citado em nosso blog parceiro, essa falha está sendo amplamente explorada na internet, visto que está instalado em mais de 30.000 sites WordPress.

A falha:

Por razões de funcionalidade o plugin permite a  alteração de opções na tabela de configurações do WordPress, a wp_options, porém a falta de uma proteção adequada permite que a opção ztb_domainid seja alterada e assim redirecionando o site para outros domínios maliciosos.

Como é possível ver no trecho de código abaixo, as opções wp_ajax_update_zb_fbc_code(para usuários autenticados) e wp_ajax_nopriv_update_zb_fbc_code(para usuários não autenticados),  usam a mesma função “ update_zb_fbc_code“, Assim, permitindo que qualquer usuário (logado ou não) modifique as configurações do plugin.

154 add_action(“wp_ajax_update_zb_fbc_code”, “update_zb_fbc_code”); 155 add_action(“wp_ajax_nopriv_update_zb_fbc_code”, “update_zb_fbc_code”);

Juntando isso ao fato da função insert_zb_fbc_code abaixo não possuir checagem de privilégios para evitar problemas de segurança, a falha pode ser facilmente explorada:

157 function update_zb_fbc_code(){
158	header('Access-Control-Allow-Origin: *');
159   header('Access-Control-Allow-Credentials: true');
160	$domain = addslashes($_REQUEST['domain']);
161	$public_key = addslashes($_REQUEST['access']);
162	$id = intval($_REQUEST['customer']);
163	$zbEmail = addslashes($_REQUEST['email']);
164	if(!isset($domain) || empty($domain)){
165		header("Location: ".admin_url()."admin.php?page=zb_fbc");
166	}else{
167		update_option( 'ztb_domainid', $domain );
168		update_option( 'ztb_access_key', $public_key );
169		update_option( 'ztb_id', $id );
170		update_option( 'ztb_email', $zbEmail );
171		update_option( 'ztb_status_disconnect', 2 );
172		wp_send_json( array(
173			'error' => false,
174			'message' => 'Update Zotabox embedded code successful !' 
175			)
176		);
177	}
178 }

Atualização:

Fizemos o teste na versão 1.4.9 e a falha foi devidamente sanada, sendo assim se você utiliza esse plugin o atualize o mais rápido possível.

Caso esteja com seu site redirecionando e não sabe como resolver entre em contato conosco para ajuda especializada.

O post Vulnerabilidade sendo explorada no plugin fb-messenger-live-chat apareceu primeiro em ETH SECURITY.

Agora imagine que você tem a capacidade de tentar várias combinações por segundo, assim como o Superman faria com sua incrível velocidade, ficaria fácil de descobrir o segredo, o mesmo se dá hoje com as senhas que você insere principalmente na área administrativa de seu site.

Estatísticas:

Uma empresa de segurança informou em um relatório as senhas mais utilizadas de 2018, e acreditem se quiser segue a lista das 25 primeiras:

• 1. 123456
• 2. password
• 3. 123456789
• 4. 12345678
• 5. 12345
• 6. 111111
• 7. 1234567
• 8. sunshine
• 9. qwerty
• 10. iloveyou
• 11. princess
• 12. admin
• 13. welcome
• 14. 666666
• 15. abc123
• 16. football
• 17. 123123
• 18. monkey
• 19. 654321
• 20. !@#$%^&*
• 21. charlie
• 22. aa123456
• 23. donald
• 24. password1
• 25. qwerty123

Vemos no topo da lista a nossa campeã de todos os anos 123456, a qual não é preciso nem um ataque de bruteforce para ser quebrada.

Como funciona o ataque:

Primeiramente o que um hacker precisa saber é a URL administrativa de seu site, assim ocorre o primeiro erro dos administradores, não alterar o endereço padrão, no WordPress é wp-admin, no Joomla: administrator, Magento: admin e muitos que fazem sites com programação própria cometem o mesmo erro.

Não pensem que os atacantes fazem esse processo manualmente, existem muitos scanners de vulnerabilidade que possuem a função findadmin, que tenta várias URLs para encontrar o alvo, portanto, encontrar a área administrativa pode não ser uma tarefa difícil.

Encontrado o alvo do ataque vem a hora de adivinhar o usuário, outro grande erro dos administradores, que deixam os padrões como admin, master, administrator etc, inclusive no WordPress é possível encontrar o nome do administrador com uma técnica chamada de enumeração, assunto para os próximos capítulos desse blog.

Com essas informações em mãos o indivíduo pode começar um ataque com várias combinações de senhas, a fim de obter sucesso caso a senha utilizada seja de baixa complexidade.

Existem na internet wordlists com bilhões de senhas, um arquivo de texto pode conter até 5G de tamanho, isso os mais modestos.

O que um ataque pode causar?

Além da possibilidade de seu site ser invadido com essa técnica, são utilizados um grande número de recursos no ataque, fazendo com que seu site fique indisponível, o servidor fique offline ou com que o administrador deste bloqueie seu site a fim de preservar o uptime do host.

Mas, por que um bruteforce consome tantos recursos?

A fim de ilustrar, vamos fazer um login em um site WordPress utilizando a senha errada, veja o quanto de recursos de CPU consome somente a página de login:

O processo funciona da seguinte maneira, as senhas ficam criptografadas no banco de dados, como não existe criptografia reversa para esse tipo de hash, o servidor precisa criptografar a senha digitada e comparar com o hash da senha no banco de dados com o intuito de validar a mesma. O hashda senha 123456 no WordPress fica no banco de dados dessa maneira:

$1$PIIEnrFJ$/VKH4QNrlTWr7tQCb9YkV0

O hash com somente um caractere alterado difere totalmente, mostrando a segurança desse tipo de criptografia:

12345:

$1$zNkKg4EY$CSks7WAfuICMFS70ZEPYn1

Esse processo de criptografia e comparação de hashs foi idealizado para executar poucas vezes, dessa forma não sobrecarregando o servidor, porém se não controlado, ataques de bruteforces podem realizar mai de 3 tentativas por segundo, tendo a indisponibilidade do site como resultado.

O que você deve fazer?

Para evitar os ataques de bruteforce você deve, primeiramente, ter uma senha forte, desse modo ela não será facilmente obtida através desse tipo de ataque.

Baseando-se no WordPress, o CMS mais utilizado no mundo, recomendamos primeiramente que altere a URL administrativa. Para isso pode-se utilizar vários plugins, como o rename wp-login.php.

Também altere o nome do usuário de admin para outro que você deseje, de difícil dedução, nas configurações do WordPress, em usuários é possível realizar essa ação:

Por último e mais importante, adicione um captcha na área administrativa de seu site, essa é a maior arma contra ataques de bruteforce, pois caso ele não seja feito por quem tenta realizar o login o servidor nem irá realizar a comparação das senhas.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post Ataques de força bruta (bruteforce), como se proteger. apareceu primeiro em ETH SECURITY.