Uma vulnerabilidade crítica de bypass de autenticação foi identificada no plugin WordPress ‘Really Simple Security‘ (anteriormente conhecido como ‘Really Simple SSL‘), afetando suas versões gratuita e Pro.
O Really Simple Security é um plugin de segurança WordPress que fornece configuração SSL, proteção de login, autenticação de dois fatores e monitoramento de vulnerabilidade em tempo real. Sua versão gratuita está atualmente ativa em mais de quatro milhões de sites.
Wordfence, que revelou a vulnerabilidade publicamente, descreve-a como uma das falhas mais críticas relatadas em seus 12 anos de história, alertando que ela permite que invasores remotos obtenham controle administrativo total dos sites afetados.
Para agravar o problema, a falha pode ser aproveitada em larga escala por meio de scripts automatizados, potencialmente desencadeando incidentes de tomada de controle generalizada de sites.
Em resposta à ameaça, o Wordfence recomenda que os provedores de hospedagem imponham atualizações de plug-ins nos sites dos clientes e escaneiem bancos de dados para garantir que nenhuma versão vulnerável permaneça em uso.
2FA levando a uma segurança mais fraca
A vulnerabilidade crítica, identificada como CVE-2024-10924, foi descoberta pelo pesquisador do Wordfence István Márton em 6 de novembro de 2024.
Esse problema decorre do tratamento inadequado da autenticação do usuário nas ações de dois fatores da REST API do plugin, permitindo acesso não autorizado a qualquer conta de usuário, incluindo aquelas com privilégios administrativos.
A falha reside especificamente na função ‘check_login_and_get_user()‘, que valida usuários analisando os parâmetros ‘user_id‘ e ‘login_nonce‘.
Quando o valor ‘login_nonce‘ é inválido, a solicitação não é rejeitada corretamente. Em vez disso, ele aciona a função ‘authenticate_and_redirect()’, que depende somente do ‘user_id’ para autenticar o usuário, facilitando assim um bypass de autenticação.
A exploração dessa falha é possível quando a autenticação de dois fatores (2FA) está habilitada. Embora a 2FA esteja desabilitada por padrão, muitos administradores a ativam para aumentar a segurança da conta.
O CVE-2024-10924 afeta versões de plug-in que variam de 9.0.0 a 9.1.1.1 nas edições “free”, “Pro” e “Pro Multisite“.
O desenvolvedor resolveu o problema implementando o tratamento correto de falhas de verificação ‘login_nonce‘, garantindo que a função ‘check_login_and_get_user()’ saia imediatamente em tais casos.
Essas correções foram incorporadas à versão 9.1.2 do plugin, lançada em 12 de novembro para usuários Pro e 14 de novembro para usuários gratuitos.
Para mitigar o risco, o fornecedor colaborou com o WordPress.org para impor atualizações de segurança para usuários do plugin. No entanto, os administradores do site devem verificar se estão executando a versão mais recente (9.1.2).
Usuários da versão Pro com licenças expiradas têm atualizações automáticas desabilitadas, exigindo que atualizem manualmente para a versão 9.1.2.
Até ontem, o site de estatísticas do WordPress.org, que rastreia instalações de versões gratuitas, registrou cerca de 450.000 downloads, deixando aproximadamente 3.500.000 sites ainda vulneráveis à falha.
Fonte: BleepingComputer, Bill Toulas
