O Loginizer é um plugin do WordPress
muito popular entre os usuários do CMS — tem mais de 1 milhão de
instalações ativas. A ferramenta de segurança contra
ataques
de força brutaopera por meio do bloqueio de tentativas de login quando o número
máximo permitido e pré-configurado é atingido.
Além disso, o plugin incorpora autenticação
de dois fatores, reCAPTCHA e outras modalidades de login para
aumentar a segurança de sites em WordPress. Mas a funcionalidade
mais efetiva — e a que gerou essa vulnerabilidade no plugin —
consiste em adicionar os IPs dos equipamentos de onde se originaram
essas tentativas em listas brancas ou negras, conforme predeterminado
pelo usuário.
Você pode pensar: “isso é o suficiente para inibir novas
tentativas” — mas não é o que comumente ocorre no mundo
digital. Da mesma forma que a tecnologia evolui e as
ferramentas se tornam menos vulneráveis, com recursos de segurança
disruptivos e inovadores, os hackers avançam em novas formas
de operacionalizar as invasões.
Esta semana o WordPress iniciou uma atualização forçada
para o plugin em sites de terceiros que executam versões
vulneráveis da ferramenta — que não validavam e
higienizavam adequadamente o nome de usuário para evitar injeções
de SQL e ataques de Cross-Site Scripting (XSS) — mesmo com a
pré-configuração de atualização automática.
Isso aconteceu porque o pesquisador de vulnerabilidades Slavco
Mihajloski, descobriu uma falha crítica no plugin, que
poderia comprometer a segurança em todos os sites com
instalações ativas desatualizadas da ferramenta.
A injeção de SQL, descoberta por ele no plugin Loginizer
consiste em fazer uma tentativa frustrada de login proposital,
justamente para injetar um código SQL no login que eventualmente
seria armazenado na lista negra, entretanto, ainda
estaria no banco de dados do WordPress e, por isso, configuraria
uma porta de entrada para os invasores.
Como o plugin
desatualizado não “higieniza” esse login, as
instruções SQL ficam intactas no sistema onde a tentativa foi
realizada, o que permite aos hackers a execução de códigos
maliciosos.
Apesar da intenção de proteger os sites dessa ameaça iminente,
vários usuários questionaram a postura da equipe do WordPress pela
atualização forçada, sem o consentimento do administrador do site.
Se alguém tinha dúvida sobre a capacidade dos desenvolvedores de
forçar uma instalação de código em sites de terceiros, isso foi
demonstrado na prática.
Mas e se esse tipo de atualização forçada inesperadamente
introduzisse um bug crítico ou uma incompatibilidade no site?
O administrador do WordPress.org, Samuel Wood, respondeu a um
tópico de suporte do plugin Loginizer em que os usuários realizaram
esse questionamento de atualização sem a devida permissão do
usuário:
“desde a versão 3.7, o WordPress.org tem a capacidade
de ativar as atualizações automáticas para problemas de segurança
em plugins e nós a usamos para lançamentos de segurança para
plugins muitas vezes.”
O fato é que vulnerabilidades são uma realidade do mundo
digitalizado e a melhor forma de inibir ameaças e combater
possíveis intrusões em conhecer efetivamente o inimigo.
Então, que tal descobrir como o hackers operam na web? Veja
o artigo que selecionamos para você!
