Conforme noticiamos há alguns dias, “uma falha grave de segurança foi descoberta no plugin MailPoet“, para WordPress. Tal plugin já foi baixado mais de 1,7 milhões de vezes, ou seja, os riscos eram e ainda são enormes, principalmente para quem o usa e ainda não o atualizou.
Um patch já foi disponibilizado para a correção da brecha de segurança, portanto, se você usa o MailPoet e ainda não atualizou, corra. Segundo pesquisadores, até 50.000 websites podem ter sido afetados, o que significa que os atacantes podem conseguir acessar todos eles, realizando inclusive upload de arquivos (maliciosos, claro).
De acordo com Daniel Cid, CEO da Sucuri, em cerca de 3 semanas a brecha de segurança pode ter sido utilizada para a instalação de um backdoor até mesmo em sites que não rodam sobre WordPress. Até mesmo em sites que não não estejam com o plugin MailPoet ativo.
“Para ser claro, a vulnerabilidade do MailPoet é o ponto de entrada. Isto não significa que seu website tem que tê-lo ativo, ou que você tem que tê-lo no website; se ele reside no servidor, em um site vizinho, ele ainda pode afetar seu site“, disse Daniel Cid.
O problema é mais sério do que pode parecer a princípio, principalmente em ambientes de hospedagem compartilhada, onde uma empresa vende “espaço” a diversos clientes em um mesmo servidor. Desta maneira, uma mesma máquina pode hospedar inúmeros websites, muitos deles rodando WordPress e, quem sabe, utilizando uma versão desatualizada (e vulnerável) do plugin.
Assim, mesmo se 99% dos usuários neste servidor realizarem a atualização que corrige a falha, este 1% restante ainda pode causar estragos enormes. Isto vale, aliás, para uma série de outras situações e sistemas, principalmente em servidores que hospedam diversos sites/clientes, nos quais cada um faz o que quer, atualiza o que quer e quando quer (e se quiser, também).
Com a instalação do backdoor, o atacante ganha controle total sobre o site afetado. Código malicioso também é injetado em temas e nos arquivos principais do CMS. Todos os arquivos PHP existentes em um servidor podem ser infectados, e vale ressaltar que outros CMSs, como o Magento e o Joomla, por exemplo, também podem ser afetados.
Segundo o CEO da Sucuri, a única versão segura do plugin MailPoet é a 2.6.7, portanto, fique atento e, caso utilize o plugin, verifique se já está rodando sua última versão.