O BackupBuddy, um plugin comercial da iThemes que realiza backups agendados com opções de armazenamento remoto, corrigiu uma vulnerabilidade que permitia o download arbitrário de arquivos por usuários não autenticados. A iThemes publicou um aviso para seus usuários, indicando que a vulnerabilidade afeta as versões 8.5.8.0 a 8.7.4.1 e está sendo explorada ativamente.
O Wordfence revisou seus dados e descobriu que os invasores começaram a atacar essa vulnerabilidade em 26 de agosto de 2022. A empresa bloqueou quase 5 milhões de ataques direcionados à vulnerabilidade desde então.
Wordfence descobriu que o método BackupBuddy usado para baixar arquivos armazenados localmente foi implementado de forma insegura, possibilitando que usuários não autenticados baixem qualquer arquivo armazenado no servidor.
“Devido a essa vulnerabilidade ser ativamente explorada e sua facilidade de exploração, estamos compartilhando detalhes mínimos sobre essa vulnerabilidade”, disse a analista de ameaças do Wordfence, Chloe Chamberland.
O Wordfence descobriu que a maioria dos ataques está tentando ler arquivos confidenciais, incluindo o seguinte:
- /etc/passwd
- /wp-config.php
- .meu.cnf
- .accesshash
A iThemes publicou indicadores específicos de comprometimento e etapas detalhadas para detectar se um site foi atacado. A empresa delineou etapas adicionais para sites que foram comprometidos.
Todos os usuários do BackupBuddy são aconselhados a atualizar para a versão 8.7.5 corrigida. O iThemes o disponibilizou para todos os usuários, independentemente do status atual de licenciamento do BackupBuddy, devido à gravidade da vulnerabilidade.
