Hackers estão desfigurando sites do WordPress que ainda não aplicaram um patch recente para uma vulnerabilidade crítica, localizada na API REST da plataforma. A falha permite que invasores não autenticados modifiquem conteúdo de qualquer publicação ou página dentro de um site do WordPress.

A vulnerabilidade foi consertada na versão WordPress 4.7.2 liberada no dia 26 de janeiro, porém a equipe do WordPress não divulgou publicamente a existência da vulnerabilidade até uma semana depois, para permitir tempo suficiente para um grande número de usuários implantar a atualização.

Entretanto, mesmo depois da falha se tornar pública, muitos desenvolvedores ainda não aplicaram o patch e uma onda de ataques se seguiu. Na segunda-feira, a empresa de web segurança Sucuri reportou que cerca de 67 mil páginas foram modificadas em quatro campanhas de ataques separadas.

Desde então, o número de páginas adulteradas cresceu para cerca de 1,5 milhão e há cerca de 20 assinaturas diferentes para as invasões, de acordo com estatísticas da Feedjit, a companhia responsável pelo plug-in de segurança Wordfence para o WordPress. O número de sites únicos afetados é estimado em cerca de 40 mil, já que um site pode ter múltiplas páginas desfiguradas.

“Essa vulnerabilidade resultou em um tipo de frenesi onde os atacantes estão competindo uns com os outros para desfigurar sites vulneráveis do WordPress”, disse Mark Maunder, CEO do Feedjit em post publicado em blog nessa quinta-feira (09/10).

“Durante as últimas 48 horas nós vimos mais de 800 mil ataques explorando esta vulnerabilidade específica através de sites do WordPress que monitoramos.

Um aspecto interessante é que os invasores conseguiram uma forma de burlarem as regras iniciais de bloqueio colocadas pelos fornecedores de firewall de aplicativos da web e empresas de hospedagem web para proteger seus clientes contra tentativas de explorar essa falha.

Essas empresas não podem forçar os webmasters a atualizarem suas instalações do WordPress, mas podem colocar filtros em seus servidores web para impedir que esses ataques cheguem aos sites de seus clientes. De fato, antes de lançar o patch oficial, a equipe de segurança do WordPress estendeu a mão para selecionar empresas de segurança e hospedagem na Web para ajudá-las a implantar regras de proteção para essa falha.

O Google também enviou alertas de segurança sobre esta vulnerabilidade aos webmasters que registraram seus sites do WordPress no serviço Google Search Console. Os alertas recomendaram instalar a atualização WordPress 4.7.2, mas gerou alguma confusão entre os usuários que já tinham aplicado o patch.

A verdade é que, apesar desses esforços, algumas instalações WordPress não serão atualizadas e continuarão vulneráveis a esta falha por um bom tempo.

Isso se baseia em experiências anteriores com outras falhas graves que afetaram o WordPress e soluções similares de gerenciamento de conteúdo.

A má notícia é que provavelmente é apenas uma questão de tempo até que os invasores parem de desfigurar as páginas e iniciem códigos maliciosos nelas, afetando seus visitantes.