Vulnerabilidade do plugin RevSlider compromete muitos sites com WordPress

Vulnerabilidade do plugin RevSlider compromete muitos sites com WordPress

Em dezembro, o site sucuri.net divulgou uma publicação informando sobre a gigantesca lista negra criada pelo google com mais de 100 mil domínios infectados por malwares…Infelizmente essa lista está crescendo a cada hora e foi batizada de  “SoakSoak” devido ao primeiro domínio infectado com o malware (soaksoak.ru).

Após um período de investigação, o site sucuri.net descobriu que vários tipos de ataques estavam partindo de sites que tinham uma vulnerabilidade no plugin “RevSlider“. Inclusive, eles divulgaram esse problema do plugin há alguns meses atrás, infelizmente parece que muitos Webmasters, ou não ouviram falar ou não levaram a sério a vulnerabilidade desse plugin.

O maior problema é que o plugin RevSlider é um plugin premium, não é algo que todos podem facilmente atualizar, tornando-se um grande problema para o dono do site. Alguns proprietários de sites nem sequer sabem que este plugin faz parte do pacote comprado do tema.
Em nossos servidores de hospedagem e revenda de hospedagem temos proteção adicional com varredura em tempo real, descobrimos vários sites com a versão desatualizada do plugin e notificamos os proprietários da revenda/hospedagem, e com essa abordagem estamos até blindando alguns sites com wordpress e atualizando o plugin para evitar que o site sofra um novo ataque no futuro.
Como funciona o ataque?

A equipe do sucuri.net investigou milhares de sites comprometidos com essa injeção com base nos registros, com isso eles foram capazes de confirmar como o ataque é feito.

  1. Discovery: Parece haver uma varredura de reconhecimento inicial de ocorrência onde o atacante (s) está (ão) olhando para ver se o arquivo existe. Trechos do código:

    94.153.8.126 – – [14/Dec/2014:09:59:35 -0500] “GET /wp-content/plugins/revslider/rs-plugin/font/revicons.eot HTTP/1.1″ 200

    94.190.20.83 – – [14/Dec/2014:00:12:07 -0500] “GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0″ 202

    A primeira entrada procura os arquivos revicons.eot e na sequência tenta usar uma das vulnerabilidades do plugin Revslider para baixar o arquivo wp-config.php.

  2. Exploit: Se a fase de descoberta é bem sucedida e eles encontram um site usando Revslider, eles usam uma segunda vulnerabilidade do Revslider e tentar fazer upload de um tema infectado para o site:

     94.153.8.126 – – [14/Dec/2014:04:31:28 -0500] “POST /wp-admin/admin-ajax.php HTTP/1.1″ 200 4183 “-”
    Content-Disposition: form-data; revslider_ajax_action
    update_plugin; name=”update_file”;…

  3. Assumir: Se o exploit for bem sucedido, eles injetam o backdoor Filesman no site, o que dá acesso diretamente para /wp-content/plugins/revslider/temp/update_extract/revslider/update.php isso proporciona  pleno acesso, ou seja, a invasão foi bem sucedida e com isso eles tem o controle do site:

     94.153.8.126 – – [14/Dec/2014:04:31:28 -0500] “GET /wp-content/plugins/revslider/temp/update_extract/revslider/update.php HTTP/1.1″ 200 5287
    “-” “Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0″

Remotamente, eles injetam um backdoor secundário que modifica o arquivo swfobject.js e infecta os visitantes do site que são redirecionados ao site soaksoak.ru (que tem um malware).

Esta campanha também está fazendo uso de uma série de novas cargas úteis backdoor, alguns estão sendo injetados em imagens para ajudar ainda mais a proliferação do malware, e outros estão sendo usados ​​para injetar novos usuários de administrador para o WordPress instalado, dando-lhes ainda mais o controle a longo prazo. Alguns usuários estão limpando infecções, mas são infectados novamente em poucos minutos, e a razão é devida a natureza complexa da infecção causada pelo problema do plugin e também pela falta de conhecimento técnico em verificar o comprometimento do gerenciador de conteúdo.

Não basta limpar esses dois arquivos!

Há recomendações on-line apenas para substituir os swfobject.js e arquivos de modelo-Loader.php para remover a infecção.

Ele faz remover a infecção, mas não aborda os backdoors que sobraram e pontos de entrada iniciais. O site será infectado rapidamente novamente. Se você foi afetado por essa vulnerabilidade poderá encontrar diversos backdoors e  arquivos infectados, infelizmente não basta remover os arquivos infectados, o servidor precisa ter um firewall instalado no servidor e um sistema de segurança que faça o bloqueio no upload e em tempo real para impedir o ataque constante ao site.
Se você é nosso cliente e desconfia que seu wordpress pode ter algum problema, basta abrir um chamado em nosso painel de cliente no setor de suporte técnico, solicitando uma varredura completa, vamos fazer uma verificação e enviar um relatório (caso houver arquivos infectados) e orientá-lo a manter o site seguro.