Vulnerabilidade encontrada no Firewall Anti-Malware WordPress

 Segunda, Mai 2, 2022

A vulnerabilidade do XSS refletida foi corrigida no plugin Anti-Malware Security and Brute-Force Firewall WordPress.

Um popular plugin anti-malware WordPress foi descoberto com uma vulnerabilidade de script entre sites refletida. Este é um tipo de vulnerabilidade que pode permitir que um invasor comprometa um usuário de nível de administrador do site afetado.

Plugin WordPress afetado

O plugin descoberto para conter a vulnerabilidade é o Anti-Malware Security e o Brute-Force Firewall, que é usado por mais de 200.000 sites.

Anti-Malware Security and Brute-Force Firewall é um plugin que defende um site como um firewall (para bloquear ameaças recebidas) e como um scanner de segurança, para verificar ameaças de segurança na forma de hacks backdoor e injeções de banco de dados.

Uma versão premium defende sites contra ataques de força bruta que tentam adivinhar senha e nomes de usuário e protege contra ataques DDoS.

Vulnerabilidade de scripting transversal refletida

Este plugin foi encontrado para conter uma vulnerabilidade que permitiu que um invasor lançasse um ataque de Scripting Cross-Site refletido (XSS refletido).

Uma vulnerabilidade de scripting entre sites refletida neste contexto é aquela em que um site do WordPress não limita adequadamente o que pode ser inserido no site.

Essa falha em restringir (higienizar) o que está sendo carregado é essencialmente como deixar a porta da frente do site destrancada e permitir que praticamente qualquer coisa seja carregada.

Um hacker se aproveita dessa vulnerabilidade carregando um script e fazendo com que o site reflita.

Quando alguém com permissões de nível de administrador visita uma URL comprometida criada pelo invasor, o script é ativado com as permissões de nível de administração armazenadas no navegador da vítima.

O relatório WPScan sobre o Firewall anti-malware security and brute-force descreveu a vulnerabilidade:

"O plugin não higieniza e escapa do QUERY_STRING antes de desligá-lo de volta em uma página de administração, levando a um Scripting Cross-Site refletido em navegadores que não codificam caracteres"

O Banco de Dados de Vulnerabilidade Nacional do Governo dos Estados Unidos ainda não atribuiu a essa vulnerabilidade um escore de nível de gravidade.

A vulnerabilidade neste plugin é chamada de vulnerabilidade XSS refletida.

Existem outros tipos de vulnerabilidades XSS, mas estes são três tipos principais:

  • Vulnerabilidade de scripting cross-site armazenada (XSS armazenado)
  • Scripting cross-site cego (XSS cego)
  • XSS refletido

Em uma vulnerabilidade XSS armazenada, uma vulnerabilidade Cega XSS, o script malicioso é armazenado no próprio site. Estes são geralmente considerados uma ameaça maior porque é mais fácil obter um usuário de nível administrativo para acionar o script. Mas estes não são do tipo que foram descobertos no plugin.

Em um XSS refletido, que é o que foi descoberto no plugin, uma pessoa com credenciais de nível de administração tem que ser enganada para clicar em um link (por exemplo, a partir de um e-mail) que, em seguida, reflete a carga maliciosa do site.

O Open Web Application Security Project (OWASP) sem fins lucrativos descreve um XSS refletido como este:

"Ataques refletidos são aqueles em que o script injetado é refletido fora do servidor web, como em uma mensagem de erro, resultado de pesquisa ou qualquer outra resposta que inclua alguma ou toda a entrada enviada ao servidor como parte da solicitação.

Ataques refletidos são entregues às vítimas por outra rota, como em uma mensagem de e-mail ou em algum outro site."

Atualização para a versão 4.20.96 Recomendada

É geralmente recomendável ter um backup de seus arquivos WordPress antes de atualizar qualquer plugin ou tema.

A versão 4.20.96 do plugin Anti-Malware Security and Brute-Force Firewall WordPress contém uma correção para a vulnerabilidade.

Recomenda-se que os usuários do plugin considerem atualizar seu plugin para a versão 4.20.96.

Fonte: Search Engine Journal