CVE-2024-2876: A exploração mais recente do WordPress compromete mais de 90.000 sites
Uma brecha de segurança altamente preocupante foi descoberta recentemente em um plugin do WordPress chamado “Email Subscribers by Icegram Express”, uma ferramenta popular utilizada por uma vasta rede de mais de 90.000 sites.
Oficialmente designada como CVE-2024-2876 com uma pontuação CVSS de 9,8 (crítica), a vulnerabilidade representa uma ameaça significativa, pois expõe vários sites a ataques potenciais.
O cerne do problema reside em uma vulnerabilidade de injeção de SQL, uma falha que permite que atores mal-intencionados injetem e executem consultas SQL prejudiciais diretamente nos bancos de dados WordPress afetados, sem a necessidade de autenticação.
Afetando todas as versões até 5.7.14 inclusive, a falha de injeção decorre do tratamento inadequado dos parâmetros fornecidos pelo usuário e da preparação insuficiente de consultas SQL na função ‘run’ da classe ‘IG_ES_Subscribers_Query’ .
Através da exploração de entradas de usuários inadequadamente higienizadas, os agressores podem inserir comandos SQL não aprovados e consultas SQL adicionais nos já existentes, comprometendo assim a integridade e a confidencialidade das informações armazenadas no banco de dados WordPress.
Como isso se transformou no último exploit CVE-2024-27956?
Nos casos de ataques observados, CVE-2024-27956 foi utilizado para executar consultas não autorizadas em bancos de dados e estabelecer novas contas de administrador em sites WordPress vulneráveis (por exemplo, aqueles que começam com “xtw”).
A revelação surge em meio à revelação de vulnerabilidades críticas em plugins como CVE-2024-2876, Forminator (CVE-2024-28890) e Registro de Usuário (CVE-2024-2417).
Essas vulnerabilidades representam riscos significativos, pois podem facilitar potencialmente a extração de dados confidenciais, como hashes de senha, do banco de dados, permitir o upload de arquivos arbitrários e conferir privilégios de administrador a usuários não autorizados.
Isso inclui a instalação de plug-ins que permitem upload de arquivos ou manipulação de código, sugerindo esforços para transformar os sites comprometidos em bases para ações futuras.
A empresa de segurança WordPress Patchstack tornou CVE-2024-27956 público em 13 de março de 2024.
Resposta do Wallarm e primeiras explorações
Embora o CVE tenha sido divulgado em 13 de março, a exploração massiva da vulnerabilidade só começou por volta de maio, quando um modelo Nuclei sobre a exploração foi desenvolvido e publicado no GitHub.
Desde maio, a plataforma Wallarm WAAP detectou mais de 3.000 solicitações maliciosas associadas a esta vulnerabilidade. Um exemplo de tentativa de digitalização usando o scanner Nuclei e como ela foi detectada pela plataforma Wallarm é mostrado abaixo.
Um exemplo de ataque usando o exploit GitHub e detectado pela plataforma Wallarm WAAP é mostrado na figura abaixo.
Ação de Remediação
1. Como todas as versões até 5.7.14 foram detectadas com o CVE, é recomendado que os usuários atualizem o plug-in Email Subscribers by Icegram Express para a versão 5.7.15 (ou a versão mais recente 5.7.19).
2. Os usuários do Patchstack têm a opção de ativar atualizações automáticas especificamente para plug-ins vulneráveis.
3. Implementar uma solução WAF/WAAP como uma camada adicional de proteção. A vantagem de tais soluções é que mesmo que a vulnerabilidade seja nova e desconhecida (dia 0), ainda pode impedir ataques através da detecção de padrões e técnicas de exploração.