Invasores estão utilizando uma brecha no sistema de blog e gestão de conteúdo WordPress para alterar milhões de páginas na web. Segundo a Wordfence, que desenvolve um sistema de segurança para WordPress, o número de páginas alteradas ultrapassa a marca de dois milhões.
A brecha atinge sites que usam o sistema WordPress e, neste momento, não tem relação com o serviço Wordpress.com.
Diversas das páginas alteradas pertencem aos mesmos sites, mas não há estimativa de quantos sites diferentes foram atingidos.
As pichações estão sendo realizadas por diversos grupos e já atingiram sites ligados ao governo na Irlanda e no Japão, de acordo com a Wordfence. A página de notícias do Tribunal de Justiça da Paraíba e um blog da fabricante de antivírus Trend Micro também foram alterados por um ataque, assim como um blog de notícias da distribuição Linux Suse.
A coluna Segurança Digital apurou que diversos sites ligados a municípios e estados brasileiros foram atingidos por esses ataques. Os invasores deixam mensagens com "hacked by" por todo o site, o que deixa o ataque muito visível. Por isso, muitos sites já foram restaurados e o conteúdo revertido ao original.
A brecha permite apenas que invasores modifiquem o conteúdo das páginas. No entanto, em algumas circunstâncias, esse acesso pode escalar para algo maior. Quando isso ocorre, a vulnerabilidade é usada para comprometer definitivamente a instalação do WordPress - uma situação da qual pode ser difícil recuperar o site sem reinstalar totalmente o WordPress e ás vezes até o sistema do servidor que abriga o site.
Brecha foi corrigida sem aviso
A equipe do WordPress tentou diminuir o impacto da brecha corrigindo o problema sem nenhum aviso público na primeira semana do lançamento da atualização. Isso deu tempo para que os sistemas de atualização automática funcionassem, limitando a atuação dos criminosos.
Mesmo assim, muitos sites permanecem em versões vulneráveis do WordPress, seja porque a atualização automática não funcionou ou porque os donos dos sites preferiram desativá-la. As versões vulneráveis são a 4.7.0 e a 4.7.1.
Não há, até o momento, registro de que as páginas alteradas estejam tentando atacar os visitantes com algum tipo de código malicioso. As páginas apenas apresentam mensagens deixadas pelo invasor responsável pela pichação virtual.
Fonte: G1