Que o WordPress está em constante atualização, não é nenhuma novidade para quem acompanha o CMS. Quem acompanha ainda mais de perto, sabe também que bloquear as atualizações, cria um campo de possibilidades de invasões. A segurança depende da atualização do sistema.
O megahack que quase…, mas não foi
Pois bem, há pouco o WordFence descobriu uma vulnerabilidade que poderia atacar até 27% da web por meio da atualização automática. Imagina um megahacking nessas proporções, todos os danos que causaria.
A falha de execução remota de código foi encontrada em um webhook dentro do servidor de atualização, api.wordpress.org. O webhook permitiria que desenvolvedores do WordPress sincronizassem seu código ao repositório de código wordpress.org. Assim, permitindo a utilização do GitHub como repositório do seu código fonte principal.
“Quando cometem uma mudança para GitHub ele vai chegar e bater um URL na api.wordpress.org que depois desencadeia um processo em api.wordpress.org que traz para baixo o código mais recente que apenas foi adicionado ao GitHub.
O problema com este webhook particular era que permitia que os desenvolvedores fornecessem seu próprio algoritmo de hash para verificar se as atualizações de código são legítimas. Não importava se era GitHub ou um atacante bater o webhook: ou poderia alimentar no algoritmo de hash usado para verificar a autenticidade da mensagem.” (Wordfence)
Como aconteceria
Dado um algoritmo de hash bastante fraco, os atacantes poderiam de força bruta ataque a webhook com um número de suposições que não iria desencadear os sistemas de segurança do WordPress.
WordFence conseguiu chegar a um algoritmo que reduziu a quantidade de suposições de 400.000 para apenas 100.000 suposições, com chaves geradas aleatoriamente, no valor de hash da chave secreta compartilhada. Essa suposição levaria apenas poucas horas.
Com a porta aberta, os atacantes poderiam enviar URLs para os servidores de atualização do WordPress, e depois, empurrá-los para fora para todos os sites WordPress.
Isso seria o inferno para o CMS mais popular do mundo. Mas é exatamente para que isso não aconteça que tantas pessoas no mundo inteiro se envolvem com o desenvolvimento da plataforma. O desenvolvedor que descobriu o problema trabalha no Wordfence e avisou a equipe WordPress imediatamente via relatório.
Se algo do tipo tivesse acontecido, seria como um grande apagão de mais de um quarto 1/4 da internet. Porém, nada disso justifica o não uso das atualizações automáticas.
Conclusão
A verdade é que esse megahack foi impedido antes mesmo de existir e deixar o site desatualizado é ainda mais perigoso. Mantenha sempre uma atenção especial sobre a segurança do seu site
Gostou da postagem? Compartilhe!
Parabéns João por esse excelente artigo.
Artigos desses me motivam muito compartilhar, e comentar a todos por que eu utilizo essa plataforma.