images

Faz algumas semanas que publiquei um pedido de atenção para galera que faz uso do pluguin MailPoet, fazendo referência a uma falha que permitia a realização de upload de arquivos PHP, tal falha foi alertada pelo pessoal da sucurilabs e assim como o roothc diversos outros sites publicaram algum tipo de alerta sobre o assunto; semanas depois as notícias eram outras, manchetes do tipo: “Falha em plug-in do WordPress compromete mais de 50 mil sites” e por ai em diante. Como a situação vai de mal a pior só cresce o número de vítimas, o pessoal da MailPoet resolveu fazer “beicinho” com a galera da sucirilabs e questionar sobre a divulgação da vulnerabilidade.

Obs: não estou levantando a bandeira em prol da empresa Sucuri, até mesmo porque eles não precisam disso, apenas estou pegando um “gancho” no assunto.

Bem vamos aos fatos, a vulnerabilidade foi divulgada pelo sucurilabs no dia 01 de julho, quando a equipe do MailPoet já tinha realizado o updated do plug-in para o WP.org, o modulo do MetaSploit para exploração da vulnerabilidade só foi liberado no dia 07 de julho, e ainda segundo o pessoal da sucurilabs a equipe do MailPoet foi notificada no dia 16 de junho, ou seja até onde posso notar o pessoal do sucurilabs só contribuiu com a comunidade.

Obs: Não foi divulgado detalhes técnicos ou formas de se explorar a falha.

Finalmente o ponto que quero levantar é, se existe algum culpado nessa história são os Usuários, administradores, mantedores de sites e etc… Cara, não precisa ser um profissional de Segurança da informação para saber que se deve manter seus sistemas, aplicações, plugins devidamente atualizados, não é uma tarefa que exige um conhecimento profundo muito menos um grande analise, em alguns casos basta clicar no botão de atualizar e pronto; “há mas eu não vi essa notícia”, primeiro se você é profissional de TI seja da área que for, suporte, redes, desenvolvimento, segurança etc… normalmente a primeira atividade do dia é dá uma olhada nas últimas notícias da mídia especializada, ou seja, isso de que eu não sabia não cola; sé você é apenas um usuário que se aventurou pelo mundo wordpress, também não tem problema porque o wordpress, por exemplo, tem um recurso que é quase um “dom” sobrenatural, quando alguma atualização sai ele coloca um “bola” vermelha na “tag” atualizações dizendo a quantidade de atualizações que seu site está precisando, e eu não sei se você sabe mas qualquer coisa em vermelho merece atenção amigo, da i com apenas dois ou três cliques você atualiza seu sistema. Então fica ai a dica mesmo que você não seja um profissional de segurança você pode contribuir diretamente com ela, mantenha seus serviços devidamente atualizados, se informe, tenha amor pelo trabalho que você faz. Fica ai meus dois centavos sobre o assunto abraços e até a próxima.

Oliveira Lima

Oliveira Lima

Oliveira Lima atua na área de segurança da informação há 10 anos, especialista em Pentest, Analise de vulnerabilidades e Hardering. Dedica-se também a pesquisas e analise de malware. Criou o Blog roothc.com.br, com intuito de manter o publico atualizado sobre noticias do mundo Linux e hacking, alem de dividir conhecimentos e propor debates.
Oliveira Lima