Foi descoberto que o plug-in All-In-One Security (AIOS) do WordPress estava registrando senhas de texto sem formatação de tentativas de login.
Instalado em mais de um milhão de sites WordPress, o plug-in de segurança e firewall foi projetado para impedir ataques cibernéticos, como tentativas de força bruta, avisar quando o nome de usuário do administrador padrão é usado para login, impedir ataques de bot, registrar a atividade do usuário e eliminar spam de comentários.
Foi descoberto que o AIOS versão 5.1.9 grava senhas de texto simples de tentativas de login no banco de dados, o que basicamente fornece a qualquer usuário privilegiado acesso às credenciais de login de todos os outros usuários administradores.
O problema foi identificado há cerca de duas semanas, quando os usuários começou a reclamar sobre a falha de design insegura nos fóruns de suporte do plug-in.
No início desta semana, a equipe Updraft que mantém o plug-in lançou o AIOS versão 5.2.0 para resolver o problema e remover as senhas registradas do banco de dados.
No entanto, os usuários do plug-in tem reclamado sobre os sites de quebra de atualização e não remoção dos logs de senha. A versão 5.2.1 do AIOS foi lançada na quarta-feira para resolver esses problemas, mas alguns usuários afirmam que os sites ainda estão quebrados.
De acordo com o CEO da Patchstack, Oliver Sild, no entanto, os mantenedores do AIOS também deveriam ter avisado os usuários sobre o registro de senha, para que pudessem redefinir suas credenciais se as mesmas combinações fossem usadas em vários sites, pois isso cria uma superfície de ataque para agentes de ameaças.
“Até agora, os desenvolvedores nem disseram aos usuários para alterar todas as senhas. Devido à escala, veremos 100% dos hackers coletando as credenciais dos logs de sites comprometidos que executam (ou executaram) este plug-in”, Sild tuitou.
Os usuários do All-In-One Security (AIOS) são aconselhados a atualizar suas instalações o mais rápido possível. Baseado em WordPress Estatisticascentenas de milhares de sites ainda estão executando uma versão vulnerável do plug-in.