Vulnerabilidade do plugin RevSlider compromete muitos sites com WordPress
Em dezembro, o site sucuri.net divulgou uma publicação informando sobre a gigantesca lista negra criada pelo google com mais de 100 mil domínios infectados por malwares…Infelizmente essa lista está crescendo a cada hora e foi batizada de “SoakSoak” devido ao primeiro domínio infectado com o malware (soaksoak.ru).
Após um período de investigação, o site sucuri.net descobriu que vários tipos de ataques estavam partindo de sites que tinham uma vulnerabilidade no plugin “RevSlider“. Inclusive, eles divulgaram esse problema do plugin há alguns meses atrás, infelizmente parece que muitos Webmasters, ou não ouviram falar ou não levaram a sério a vulnerabilidade desse plugin.
Como funciona o ataque?
A equipe do sucuri.net investigou milhares de sites comprometidos com essa injeção com base nos registros, com isso eles foram capazes de confirmar como o ataque é feito.
- Discovery: Parece haver uma varredura de reconhecimento inicial de ocorrência onde o atacante (s) está (ão) olhando para ver se o arquivo existe. Trechos do código:
94.153.8.126 – – [14/Dec/2014:09:59:35 -0500] “GET /wp-content/plugins/revslider/rs-plugin/font/revicons.eot HTTP/1.1″ 200
94.190.20.83 – – [14/Dec/2014:00:12:07 -0500] “GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0″ 202
A primeira entrada procura os arquivos revicons.eot e na sequência tenta usar uma das vulnerabilidades do plugin Revslider para baixar o arquivo wp-config.php.
- Exploit: Se a fase de descoberta é bem sucedida e eles encontram um site usando Revslider, eles usam uma segunda vulnerabilidade do Revslider e tentar fazer upload de um tema infectado para o site:
94.153.8.126 – – [14/Dec/2014:04:31:28 -0500] “POST /wp-admin/admin-ajax.php HTTP/1.1″ 200 4183 “-”
Content-Disposition: form-data; revslider_ajax_action
update_plugin; name=”update_file”;… - Assumir: Se o exploit for bem sucedido, eles injetam o backdoor Filesman no site, o que dá acesso diretamente para /wp-content/plugins/revslider/temp/update_extract/revslider/update.php isso proporciona pleno acesso, ou seja, a invasão foi bem sucedida e com isso eles tem o controle do site:
94.153.8.126 – – [14/Dec/2014:04:31:28 -0500] “GET /wp-content/plugins/revslider/temp/update_extract/revslider/update.php HTTP/1.1″ 200 5287
“-” “Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0″
Remotamente, eles injetam um backdoor secundário que modifica o arquivo swfobject.js e infecta os visitantes do site que são redirecionados ao site soaksoak.ru (que tem um malware).
Esta campanha também está fazendo uso de uma série de novas cargas úteis backdoor, alguns estão sendo injetados em imagens para ajudar ainda mais a proliferação do malware, e outros estão sendo usados para injetar novos usuários de administrador para o WordPress instalado, dando-lhes ainda mais o controle a longo prazo. Alguns usuários estão limpando infecções, mas são infectados novamente em poucos minutos, e a razão é devida a natureza complexa da infecção causada pelo problema do plugin e também pela falta de conhecimento técnico em verificar o comprometimento do gerenciador de conteúdo.
Não basta limpar esses dois arquivos!
Há recomendações on-line apenas para substituir os swfobject.js e arquivos de modelo-Loader.php para remover a infecção.