O perigo dos plugins desenvolvidos por terceiros

Muitas vezes esquecidos com risco potencial alto, os plugins podem ser os calcanhares de Aquiles do seu site. Explicamos quais são os perigos e como evitar ataques de supply chain.

Lojas online, portais de notícias e outros recursos geralmente são baseados em plataformas que fornecem aos desenvolvedores um conjunto de ferramentas predefinidas. Por exemplo, nosso blog foi construído nesses parâmetros. As funcionalidades geralmente são disponibilizadas aos usuários por meio de plugins que permitem adicioná-las conforme necessário. Por um lado, é um sistema conveniente que otimiza o trabalho dos desenvolvedores por não precisarem produzir uma ferramenta ou códigos específicos para funções semelhantes em cada projeto. No entanto, ao utilizar muitas aplicações criadas por terceiros em seu site, maiores as possibilidades de que algo dê errado.

Os problemas com os plugins

Plugins são pequenos módulos de softwares que adicionam ou melhoraram as funcionalidades de sites. Alguns plugins funcionam como widget de mídias sociais, outros compilam estatísticas, estudos e diversos conteúdos.

Se você conectar um plugin de busca em seu site, ele será automaticamente executado, e, só será lembrado dele se ocorrer um problema de operação – quer dizer, se alguém relatar o erro. Aqui está um dos perigos destes módulos: se o desenvolvedor do plugin o abandona ou o vende, provavelmente, não haverá notificação de nada.

Vulnerabilidades em plugins

Plugins que não foram atualizados há anos são mais propensos a conter vulnerabilidades não corrigidas que podem beneficiar os cibercriminosos a assumir o controle de um site, baixar um keylogger, um minerador de criptomoedas ou em qualquer outra armadilha com fins escusos.

Mesmo quando as atualizações estão disponíveis, muitos proprietários de sites as ignoram, por isso, módulos com problemas de segurança ​permanecem ativos por anos, mesmo após a retirada do suporte.

Às vezes, criadores de plugins desenvolvem patches para corrigir vulnerabilidades, mas, por qualquer motivo, mas não são instalados automaticamente. Por exemplo, em alguns casos, os desenvolvedores dos módulos se esquecem de mudar o número da versão na atualização, consequentemente, os usuários que confiaram em atualização automáticas ficam com plugins desatualizados por não ter feito verificações manuais.

Como substituir os plugins

Algumas plataformas de gerenciamento de conteúdo de sites bloqueiam o download de módulos que não são recebem mais suporte. No entanto, nem o desenvolvedor, nem a plataforma podem remover os plugins vulneráveis já instalados pelos usuários, pois poderiam alterar a página ou algo muito pior.

Além disso, plugins abandonados podem não ser armazenados na loja da plataforma, mas em serviços disponíveis ao público. Quando o desenvolvedor interrompe o suporte ou remove um módulo, seu site ainda pode acessar o container em que ele estava localizado. Mas os cibercriminosos podem interceptar ou clonar esse container abandonado e forçá-lo a baixar malwares em vez do plugin.

E foi isso que aconteceu com o New Share Counts tweet counter, hospedado no serviço de armazenamento na nuvem, Amazon S3. Quando o suporte ao plugin foi interrompido, o desenvolvedor postou uma mensagem sobre isso em seu site, mas havia mais de 800 clientes que não o leram sobre essa atualização.

Logo, o autor do plugin fechou o container no Amazon S3 e os cibercriminosos aproveitaram a situação. Criaram um armazenamento com o mesmo nome e introduziram um script malicioso. Sites ainda usam a ficha começou a carregar o novo código que não redirecionado usuários para combater tweets, mas uma fonte de phishing que prometia um prêmio em troca de uma pesquisa. Os sites que ainda usam o plugin começaram a carregar o novo código, que redirecionava os usuários para um recurso de phishing que prometia um prêmio por fazer uma pesquisa, em vez do container de tweets.

Clientes não estão cientes da mudança de propriedade

Às vezes, os desenvolvedores vendem suas criações, ao invés de abandoná-las diretamente. O problema é que geralmente não há grande rigor na seleção do comprador. Então, se um cibercriminoso adquirir um módulo, na próxima atualização, seu site pode receber de presente um malware.

Detectar este tipo de plugin é muito complicado, na verdade, eles são geralmente atribuídos por puro acaso.

Fique atento aos plugins dos seus sites

Como você pode ver, existem diversas maneiras de infectar um site por meio da instalação de plugins. Portanto, recomendamos que você monitore de maneira independente a segurança e a atualização desses módulos em seus sistemas.

  • Compile uma lista de plugins usados ​​em suas fontes, junto com informações de armazenamento, verifique e atualize periodicamente.
  • Leia as notificações dos desenvolvedores de software de terceiros que você usa e os sites por meio dos quais eles são distribuídos.
  • Atualize os plugins e, se não tiverem mais suporte, substitua-os o mais rápido possível.
  • Se por algum motivo um dos sites da sua empresa não for mais necessário e você interromper seu suporte, não se esqueça de excluir seu conteúdo, incluindo todos os plugins. Caso contrário, é apenas uma questão de tempo até que apareçam vulnerabilidades por meio das quais os cibercriminosos podem aproveitar para comprometer seus negócios.
  • Os funcionários que trabalham com sites de acesso público devem receber treinamento para lidar com as ameaças virtuais atuais, por exemplo, com a ajuda da nossa plataforma ASAP.
Dicas