O TecMundo recebeu uma denúncia do pesquisador de segurança Jonatas Fil, sobre uma vulnerabilidade na plataforma Wordpress que pode colocar em risco servidores de sites com uma alta base de usuários. Alguns dos sites indicados pelo pesquisador são de companhias ou instituições como: Harvard, NASA, Stanford, Toyota, National City Bank, IBM, BBVA, União Europeia, phpBB, Unece, PBS, TIM e Citroen.
"Essas falhas permitem, dependendo da permissão do usuário que consigo, até o comando total ao servidor", explica Jonatas. "Se eu tenho acesso ao servidor, posso executar comandos internos e isso prejudica bastante a empresa caso tenham arquivos importantes. É possível realizar um defacement, modificando a página index ou outra do site — como se fosse uma forma de pichação".
A vulnerabilidade deixa expostos os dados de funcionários, empresa e servidor
Caso você não saiba, defacement, também conhecido como deface, é o ato de modificar ou danificar a aparência de domínios na internet. É um dos ataques mais comuns na internet, visto que é um dos mais fáceis e simples de realizar.
O TecMundo entrou em contato com especialistas de segurança sobre o caso. Um deles, chamado Ricardo Fukui, membro do Partido Pirata, comentou o seguinte: "Foi utilizada uma vulnerabilidade de sites construídos sobre Wordpress. Dado que aproximadamente 27% dos sites no mundo são hospedados em Wordpress, eles são os que mais sofrem ataques e exploração de vulnerabilidade. Essa, em específico, se deu na versão 4.2.2 e explora a vulnerabilidade de um plugin de integração e que continua desatualizado, sendo desenvolvido pela Atlassian".
Já Amir Safa, pesquisador da USP, comentou que o pesquisador realizou uma "desserializacao" em Java contido na ferramenta Atlassian Bamboo. "Já haviam sido reportadas três falhas do mesmo tipo na mesma aplicação (CVE-2016-5229, CVE-2016-5229), porém não se sabe se ele utilizou alguma delas ou achou alguma falha do mesmo tipo na ferramenta", disse.
Amostras
O pesquisador de segurança enviou ao TecMundo algumas amostras das vulnerabilidades, que você acompanha nas imagens abaixo:
Amostra 1
"Eu obtive RCE [remote command execute], que me permitiu executar comandos no servidor por meio de aplicações vulneráveis", explica Jonatas. "No caso da TIM, além do RCE, eu encontrei a base de dados deles nos arquivos do servidor. Nele, encontram-se dados de funcionários, empresa e servidor".
- O TecMundo censurou dados sensíveis.
Amostra 2
Sobre a vulnerabilidade, é possível que ela tenha ocorrido no Bamboo da Atlassian. De acordo com o especialista de segurança consultado pelo TecMundo, "uma pessoa com esse tipo de vulnerabilidade consegue executar programas e scripts locais. Se malconfigurados, ela pode executar os comandos como root (administrador) e tomar completamente o controle de um servidor".
Para mais notícias sobre vulnerabilidades e segurança, acompanhe a nossa página dedicada. A vulnerabilidade em questão já foi corrigida pela equipe do Wordpress.
Fontes
