Dolutech

Vulnerabilidade CVE-2024-10924 no Plug-in Really Simple SSL do WordPress: Entenda e Saiba Como Mitigar

Lucas Catão de Moraes

O plug-in Really Simple SSL, amplamente utilizado para gerenciar a configuração de HTTPS em sites WordPress, foi recentemente alvo de uma vulnerabilidade crítica rastreada como CVE-2024-10924. Essa falha permite que invasores não autenticados contornem a autenticação e obtenham acesso como qualquer usuário registrado, incluindo administradores, comprometendo totalmente a segurança de sites afetados.

Com uma pontuação CVSS de 9,8, a vulnerabilidade destaca a importância de manter plug-ins atualizados e implementar práticas robustas de segurança. Neste artigo, vamos detalhar como a vulnerabilidade funciona, os riscos associados, e como administradores podem mitigar esse problema para proteger seus sites.

icon 256x256 1
Really Simple SSL

O Que É a CVE-2024-10924?

A vulnerabilidade CVE-2024-10924 afeta as versões 9.0.0 até 9.1.1.1 do plug-in Really Simple SSL, incluindo as edições gratuitas, Pro e Pro Multisite. A falha está relacionada a uma verificação inadequada de autenticação na função check_login_and_get_user dentro das ações da API REST do recurso de autenticação em dois fatores.

Essa falha torna possível que um invasor bypass autenticação e faça login como qualquer usuário registrado no site. Embora a autenticação em dois fatores esteja desabilitada por padrão, sites que utilizam essa funcionalidade ficam especialmente expostos.

Como a Vulnerabilidade Funciona?

1. Erro na Verificação de Usuário

A função check_login_and_get_user da API REST, usada para autenticação em dois fatores, não trata corretamente erros de verificação. Isso permite que um invasor simule a autenticação de um usuário sem fornecer credenciais válidas.

2. Impacto no Login

Com essa exploração, um invasor pode:

3. Exploração Simples

Como a exploração pode ser feita remotamente e sem autenticação prévia, ela é classificada como de baixa complexidade, o que aumenta o risco de ataques em larga escala.

Impactos da CVE-2024-10924

1. Comprometimento Total do Site

Uma vez que o invasor consegue login como administrador, ele pode:

2. Roubo de Dados

Credenciais de usuários, informações pessoais e dados sensíveis podem ser acessados e exfiltrados.

3. Injeção de Malware

Sites comprometidos podem ser usados para redirecionar visitantes para páginas maliciosas ou injetar malwares nos dispositivos dos usuários.

4. Impacto na Reputação

Um site comprometido pode perder a confiança dos visitantes, impactando a reputação da marca e resultando em perdas financeiras.

Como Identificar se Seu Site Está Vulnerável?

Script de Detecção

Use o seguinte script Bash para verificar se o plug-in Really Simple SSL está instalado e em uma versão vulnerável:

#!/bin/bash

WP_PATH="/wordpress/path"

if ! command -v wp &> /dev/null; then
    echo "Error: WP-CLI is not installed. Please install WP-CLI to use this script."
    exit 1
fi

if wp --path="$WP_PATH" --allow-root plugin is-installed really-simple-ssl; then
    VERSION=$(wp --path="$WP_PATH" --allow-root plugin get really-simple-ssl --field=version)
    echo "Detected Really Simple SSL plugin version: $VERSION"

    # Check if the version is vulnerable
    if [[ "$VERSION" =~ ^9\.[0-1](\.[0-9]+)?$ ]] && [[ "$VERSION" < "9.1.1.2" ]]; then
        echo "Warning: Really Simple SSL plugin version ($VERSION) is vulnerable."
    else
        echo "Your Really Simple SSL plugin version ($VERSION) is not vulnerable."
    fi
else
    echo "Really Simple SSL plugin is not installed."
fi

Como Mitigar a CVE-2024-10924?

Atualize o Plug-in

A vulnerabilidade foi corrigida na versão 9.1.2 do Really Simple SSL. Atualize imediatamente para a versão mais recente.

Script de Mitigação

Para atualizar o plug-in e garantir que ele seja reativado de forma segura, use o seguinte script Bash:

#!/bin/bash

WP_PATH="/wordpress/path"

if ! command -v wp &> /dev/null; then
    echo "Error: WP-CLI is not installed. Please install WP-CLI to use this script."
    exit 1
fi

if wp --path="$WP_PATH" --allow-root plugin is-installed really-simple-ssl; then
    echo "Deactivating the Really Simple SSL plugin..."
    wp --path="$WP_PATH" --allow-root plugin deactivate really-simple-ssl

    echo "Updating the Really Simple SSL plugin to the latest version..."
    wp --path="$WP_PATH" --allow-root plugin update really-simple-ssl

    echo "Reactivating the Really Simple SSL plugin..."
    wp --path="$WP_PATH" --allow-root plugin activate really-simple-ssl

    echo "Mitigation completed. The Really Simple SSL plugin has been updated and reactivated."
else
    echo "Really Simple SSL plugin is not installed."
fi

Implementar Restrições de Acesso

Monitore Logs

Use ferramentas de monitoramento para identificar acessos suspeitos ou não autorizados.

Boas Práticas para Prevenção Futura

  1. Atualizações Regulares Certifique-se de que todos os plug-ins, temas e o núcleo do WordPress estejam sempre atualizados.
  2. Revisão de Permissões Garanta que apenas usuários confiáveis tenham acesso administrativo ao site.
  3. Ferramentas de Segurança Implemente firewalls de aplicação web (WAF) e scanners de segurança como Wordfence ou Sucuri para detectar e bloquear tentativas de exploração.
  4. Backups Frequentes Mantenha backups atualizados de seu site para facilitar a recuperação em caso de comprometimento.

Conclusão

A vulnerabilidade CVE-2024-10924 no plug-in Really Simple SSL destaca como falhas de autenticação podem comprometer seriamente a segurança de sites WordPress. Com uma pontuação crítica de 9,8 no CVSS, é essencial que administradores de sites atualizem imediatamente para a versão corrigida e implementem medidas adicionais para proteger seus sistemas.

Proatividade, monitoramento contínuo e práticas de segurança robustas são fundamentais para evitar que vulnerabilidades como essa sejam exploradas. Certifique-se de revisar regularmente seus plug-ins e estar atento a atualizações de segurança para garantir a proteção de seu site e dos dados dos seus usuários.

Sair da versão mobile