A corrida para o patch: invasores tiram proveito do código de exploração de amostra no plug-in do Wordpress
Comentários editoriais e adicionais por Tricia Howard
Resumo executivo
O Akamai Security Intelligence Group (SIG) tem analisado a atividade de tentativa de ataque após o anúncio de uma vulnerabilidade crítica em um plug-in de campos personalizados do WordPress que afeta mais de 2 milhões de sites.
Explorar essa vulnerabilidade poderia levar a um ataque de cross-site scripting (XSS) refletido, no qual um código mal-intencionado é inserido em um site vítima e enviado aos visitantes.
Em sexta-feira, 4 de maio de 2023, a equipe do WP Engine anunciou a correção de segurança na versão 6.1.6,incluindo código de exploração de amostra como prova de conceito (PoC).
A partir de 6 de maio, menos de 48 horas após o anúncio, o SIG observou atividade de tentativa de ataque significativa, procurando sites vulneráveis usando o código de amostra fornecido na anotação técnica.
Isso destaca que o tempo de resposta para os invasores está diminuindo rapidamente, aumentando a necessidade de um gerenciamento de patches vigoroso e rápido.
Introdução
O uso generalizado de aplicativos da Web, APIs e outros terceiros aumentou consideravelmente a superfície de ataque e explorou o impacto nesse vetor. Quanto mais complexos os ambientes se tornam, mais terreno os invasores tem para explorar, muitas vezes com uma pequena barreira para entrada.
Um exemplo recente disso foi exibido no início deste mês com uma vulnerabilidade crítica que afeta um plug-in de campo personalizado do WordPress. Algumas horas após o anúncio da empresa sobre a vulnerabilidade e o patch associado, vimos um aumento na atividade de XSS. Um, em particular, se destacou: a própria consulta de PoC.
Como exemplo, vamos examinar uma amostra de agente de digitalização que nossa equipe monitorou após a publicação da vulnerabilidade. Nas 48 horas imediatamente após a publicação dos detalhes, vimos uma quantidade significativa de atividade de digitalização. Isso é consistente com a atividade do invasor que vimos em outros dias zero também.
Está se tornando cada vez mais comum para os invasores “aproveitar os conhecidos” ainda mais profundamente do que antes (como abusar de um sentimento de férias ou uma tendência como criptomoeda). Vamos examinar a vulnerabilidade inicial, o agente que observamos e o tráfego que analisamos.
A vulnerabilidade inicial
A vulnerabilidade designada CVE-2023-30777 foi descoberta originalmente em maio deste ano com uma pontuação básica CVSS de 7,1. Sua exploração leva a um ataque XSS refletido no qual um agente de ameaça pode inserir scripts, redirecionamentos, anúncios e outras formas de manipulação de URL no site de uma vítima. Isso, por sua vez, iria enviar esses scripts ilegítimos aos visitantes do site afetado. Essa manipulação é essencialmente invisível para o proprietário do site, tornando essas ameaças ainda mais perigosas.
Com mais de 2 milhões de usuários ativos do plug-in, o impacto dessa vulnerabilidade criou manchetes quando a PoC e o patch de exploração foram liberados. Uma anotação detalhada sobre os resultados, incluindo exemplos de cargas úteis (Figura 1) foi publicado em 5 de maio de 2023 pela Patchstack, uma empresa de segurança da WordPress, seguindo sua divulgação responsável.
Fig. 1: Imagem de vetor de ataque CVE-2023-30777 de Patchstack
A exploração ativa observada
Assim que os detalhes do vetor de exploração são divulgados publicamente, as tentativas de verificação e exploração aumentam rapidamente. É comum que pesquisadores de segurança, praticantes de hobby e empresas pesquisem seu perfil de risco para examinar novas vulnerabilidades após o lançamento. No entanto, o volume está aumentando, e a quantidade de tempo entre a liberação e o dito crescimento está diminuindo drasticamente. O SIG da Akamai analisou os dados de ataque XSS e identificou ataques iniciados até 24 horas após a PoC de exploração ser publicada.
Particularmente interessante sobre isso é a própria consulta: o agente de ameaça copiou e usou o código de amostra Patchstack da anotação.
Você pode ver a atividade monitorada na Figura 2, uma captura de tela do painel Web Security Analytics da Akamai que mostra a atividade de verificação de vulnerabilidade para esse agente. Essa atividade abrangeu todos os verticais sem distinção. Essa amplitude de atividade e a total falta de esforço para criar um novo código de exploração nos dizem que o agente de ameaça não é sofisticado. O agente estava procurando sites vulneráveis e tentando explorar um alvo fácil.
Fig. 2: Captura de tela do Web Security Analytics mostrando ataques de XSS
Recomendações e mitigações
Os clientes do Akamai App & API Protector podem ficar tranquilos, pois já estão protegidos contra esse grupo de ataques XSS de dia zero. Para garantir a segurança, recomendamos que você tenha o grupo completo em negação; no entanto, se isso não for viável, certifique-se de que pelo menos as seguintes regras estejam em negação:
3000111– Ataque Cross–Site Scripting (XSS) (Sondagens de PoC comuns 1)
3000110 – Ataque Cross-site Scripting (XSS) (SmartDetect)
3000081– Ataque Cross–Site Scripting (XSS) (Inserção de atributo 2)
3000039 – Ataque Cross–Site Scripting (XSS) (Métodos de documento DOM)
3000037 – Ataque Cross-site Scripting (XSS) (Gerenciador JS no evento)
958052 – Ataque de Cross-site Scripting (XSS) (Acionadores de evento DOM PoC Comuns)
Para clientes sem o App & API Protector, a atenuação mais eficaz é o gerenciamento de patches. Recomendamos que os proprietários do WordPress com versões vulneráveis implantem patches recentes o mais rápido possível.
Resumo
O gerenciamento de patches é uma parte essencial da estratégia de segurança e redução de riscos de uma organização. Como foi demonstrado aqui, a taxa de exploração de vulnerabilidades emergentes e divulgadas recentemente permanece alta – e está ficando mais rápida. Os invasores geralmente exploram tendências nas primeiras 24 a 48 horas de anúncio público, deixando praticamente nenhum tempo para que as atenuações apropriadas sejam aplicadas, mesmo nos ecossistemas de segurança mais robustos.
Isso destaca a necessidade de ferramentas adequadas para fornecer visibilidade em tempo real e opções de atenuação para esses tipos de ataques. Os Web application firewalls fornecem às equipes de segurança as proteções necessárias para evitar ataques, enquanto os patches de segurança são aplicados a aplicativos da Web.
O SIG da Akamai continuará monitorando essa atividade e fornecerá percepções valiosas para nossos clientes e para a comunidade em geral. Para obter mais informações em tempo real sobre vulnerabilidades e outras pesquisas de segurança mais recentes, siga-nos no Twitter.
