Cibercriminosos estão explorando duas vulnerabilidades nos plugins Hunk Companion e WP Query Console do WordPress para obter acesso persistente a sites vulneráveis, de acordo com um relatório da WPScan.
O Hunk Companion, um plugin de desenvolvimento de sites projetado para ampliar a funcionalidade dos temas ThemeHunk no WordPress, apresenta uma falha de verificação de permissões que permite que atacantes instalem e ativem plugins sem autorização.
Identificada como CVE‑2024‑9707 (com pontuação CVSS de 9.8), a vulnerabilidade permite que “ataques não autenticados instalem e ativem plugins arbitrários, o que pode ser usado para executar códigos remotamente caso outro plugin vulnerável esteja instalado e ativo”, conforme descrito em um alerta do NIST.
Uma correção para essa falha foi incluída na versão 1.8.5 do Hunk Companion, lançada em outubro. No entanto, a WPScan afirma que a correção não foi eficaz e que a versão 1.8.7 do plugin também foi considerada vulnerável. Uma nova atualização foi lançada em 10 de dezembro, na versão 1.9.0 do Hunk Companion. Dados do WordPress indicam que aproximadamente 90% das 10.000 instalações do plugin ainda estão utilizando versões desatualizadas.
Nas últimas 24 horas, a empresa de segurança Defiance bloqueou mais de 56.000 tentativas de ataque que exploravam a vulnerabilidade do Hunk Companion.
A WPScan observou que os cibercriminosos estão explorando instâncias vulneráveis do Hunk Companion para instalar e ativar o WP Query Console, um plugin de teste de consultas do WordPress que não recebe atualizações há sete anos e que contém uma falha de execução remota de código (RCE).
Registrada como CVE-2024-50498 (com pontuação CVSS de 9.8), a vulnerabilidade é descrita como um defeito de injeção de código que afeta todas as versões do WP Query Console. O plugin foi removido do repositório oficial do WordPress em 21 de outubro, uma semana antes da divulgação pública da falha.
O problema “pode permitir que um ator malicioso execute comandos no site alvo. Isso pode ser usado para obter acesso de backdoor e assumir o controle total do site”, observa a Patchstack, que lançou uma correção virtual em outubro.
Dados do WordPress mostram que, embora o plugin tenha sido removido em outubro, ele foi baixado centenas de vezes desde o final de novembro, o que sugere que cibercriminosos podem estar explorando-o em campanhas de ataques em massa.
Recomenda-se que os usuários do Hunk Companion atualizem suas instalações para a versão 1.9.0 o mais rápido possível. Administradores de sites também devem verificar se há sinais de invasão, como a instalação não autorizada do WP Query Console ou de outros plugins no WordPress.
