O ataque aos suplementos Elementor Pro e Ultimate para plug-ins Elementor ameaça milhões de sites

Em 6 de maio de 2020, a equipe de Inteligência em Ameaças do Wordfence recebeu relatos de um ataque em andamento. Esse ataque explora vulnerabilidades em dois plug-ins, Elementor Pro e Ultimate Addons for Elementor, ameaçando milhões de sites. A equipe verificou os registros dos sites violados para confirmar esta atividade. Por se tratar de um ataque “ativo”, o grupo forneceu as informações necessárias aos usuários para que pudessem tomar medidas para proteger seu site, enquanto deliberadamente não forneceu mais detalhes sobre o assunto, pois é um ataque a evolução, enquanto a vulnerabilidade mais crítica ainda não foi corrigida. Ao mesmo tempo, a equipe lançou uma regra de firewall que protege os usuários do Wordfence Premium de qualquer exploração desta vulnerabilidade. Os usuários do Freefence receberão proteção para esta vulnerabilidade em 5 de junho de 2020.

Quais plug-ins são afetados por este ataque;

Existem dois plugins afetados por esta campanha de ataque. O primeiro plug-in, chamado Elementor Pro, fabricado pela Elementor, tem vulnerabilidade de dia zero, que pode ser explorada se os usuários tiverem registro aberto. Desde ontem, 7 de maio de 2020, a Elementor lançou a versão atualizada 2.9.4 do Elementor Pro, que pode corrigir a vulnerabilidade detectada. Por esse motivo, os usuários são aconselhados a baixar esta atualização o mais rápido possível. O segundo plugin afetado é o Ultimate Addons for Elementor, criado pela Brainstorm Force. Especificamente, uma vulnerabilidade foi detectada neste plug-in, o que permite a exploração da vulnerabilidade detectada no Elementor Pro, mesmo se o site não tiver o registro do usuário ativado.

Estima-se que o Elementor Pro esteja instalado em mais de 1 milhão de sites e o Ultimate Addons em cerca de 110.000. No entanto, deve-se observar que o plug-in gratuito Elementor, que possui mais de 4 milhões de instalações disponíveis no repositório de plug-ins do WordPress, não é afetado. O plug-in Elementor Pro é um download separado, disponível no Elementor.com.

A vulnerabilidade encontrada no Elementor Pro, que foi descrita como crítica, permite que usuários registrados enviem arquivos arbitrários que levam à execução remota de código. Esta é uma vulnerabilidade de dia zero. Um invasor que executa a execução remota de código em um site pode instalar um backdoor ou webshell para manter seu acesso, obter acesso total do administrador ao WordPress ou até mesmo excluir completamente o site. A equipe da Elementor está trabalhando para lançar uma atualização de código.

O plug-in Ultimate Addons for Elementor recentemente corrigiu uma vulnerabilidade com a versão atualizada 1.24.2, que permite aos invasores criar usuários no nível do assinante, mesmo se o registro estiver desativado em um site WordPress.

Duas vulnerabilidades são usadas para atacar sitesOs invasores podem aproveitar a vulnerabilidade de dia zero encontrada no Elementor Pro para obter acesso a sites com registro de usuário aberto. Nos casos em que um site não tem o registro do usuário ativado, os invasores exploram as vulnerabilidades detectadas nos Ultimate Addons for Elementor em sites que não receberam atualizações, para se registrar como assinantes. Eles procuram usar as contas recém-criadas para aproveitar a vulnerabilidade de dia zero do Elementor Pro e executar com êxito a execução remota de código.

Útil Dicas

Se você estiver usando o Wordfence Premium, o site adotou uma regra de firewall para protegê-lo contra esse ataque. Existem algumas etapas que o proprietário de um site que não usa o Wordfence Premium pode seguir para proteger seu site contra esse ataque contínuo.

  • Atualize para Ultimate Addons for Elementor. Verifique se Ultimate Addons for Elementor é a versão 1.24.2 ou posterior.
  • Use o Elementor gratuito até que uma versão atualizada do código Elementor Pro seja lançada. Você pode fazer isso desativando o Elementor Pro e removendo-o do seu site. Isso removerá a vulnerabilidade de upload de arquivo.
  • Após receber a atualização, você pode reinstalar a versão atualizada do Elementor Pro no seu site e recuperar qualquer funcionalidade perdida. Você pode perder temporariamente alguns elementos de design que provavelmente retornarão quando você reinstalar o Elementor Pro. No entanto, é recomendável fazer backup quando o downgrade.
  • Verifique se há usuários desconhecidos no nível do assinante em seu site. Isso pode indicar que seu site foi comprometido por esta campanha de ataque. Se você encontrar usuários desconhecidos no nível do assinante, exclua essas contas.
  • Verifique se há arquivos chamados “wp-xmlrpc.php”. Eles podem mostrar se uma violação foi cometida. O Wordfence irá notificá-lo se um arquivo contendo malware for encontrado.
  • Exclua quaisquer arquivos ou pastas desconhecidos no diretório / wp-content / uploads / elementor / custom-icons /. Os arquivos são uma indicação clara de uma violação.
  • Se você encontrar uma “infecção” extensa, use o Wordfence para limpar seu site. Você pode entrar em contato com a equipe de serviço de segurança para limpeza profissional do site. Por fim, os clientes premium têm acesso ao serviço ao cliente para qualquer dúvida.
  • Agradecemos ao Sr. Fotis Mavrakis, da retrocomputers.gr, pelas informações oportunas e válidas!