Centenas de milhares de sites WordPress foram atacados ao longo de 24 horas em um ataque cibernético em larga escala com o objetivo de obter credenciais de banco de dados.
Os cibercriminosos por trás do ataque estavam tentando baixar os arquivos de configuração wp-config.php dos sites WordPress dos usuários, pois eles contêm informações valiosas, incluindo credenciais de banco de dados, informações de conexão, chaves de autenticação exclusivas e vendas.
Eles tentaram explorar as vulnerabilidades conhecidas de script entre sites (XSS) em plugins e temas WordPress instalados nos sites dos usuários como forma de obter acesso às suas credenciais com o objetivo final de dominar completamente seus sites.
Em um post do blog, o engenheiro de controle de qualidade e analista de ameaças Ram Gall forneceu mais informações sobre a escala da campanha, dizendo:
“Entre 29 e 31 de maio de 2020, o firewall do Wordfence bloqueou mais de 130 milhões de ataques destinados a coletar credenciais de banco de dados de 1,3 milhão de sites, baixando seus arquivos de configuração. O pico desta campanha de O ataque ocorreu em 30 de maio de 2020. Nesse momento, os ataques desta campanha foram responsáveis por 75% de todas as tentativas de explorar as vulnerabilidades de plugins e temas em todo o ecossistema do WordPress. “
Orientação para contas WordPress
Os pesquisadores de segurança do Wordfence conseguiram vincular esta campanha a outro ataque de larga escala iniciado em 28 de abril, analisando os 20.000 endereços IP diferentes usados nesse último ataque.
Na campanha anterior, o agente de ameaças que a empresa rastreava tentou plantar portas dos fundos ou redirecionar visitantes para sites de publicidade mal-intencionados, explorando as vulnerabilidades XSS do plugin que foram corrigidas, mas ainda não atualizadas pelos proprietários do site WordPress. .
Em apenas um dia, em 3 de maio, os atacantes por trás dessas campanhas conseguiram lançar mais de 20 milhões de ataques contra mais de meio milhão de sites.
Como geralmente acontece, os proprietários de sites WordPress podem se defender desses ataques, garantindo que todos os plugins e temas instalados em seus sites sejam atualizados para a versão mais recente e aplicando e corrigindo os lançamentos de seus criadores. Além disso, eles devem remover ou desativar temas e plugins desatualizados que foram removidos do repositório oficial do WordPress, pois não são mais mantidos.
Via BleepingComputer
