Incidente de Segurança: Script Manipulado Servido via PushEngage

Ultima atualiza uevo em por Rakesh
LinkedIn

Resumo

Estamos a responder a um incidente de seguran uevo que afeta a PushEngage. Um atacante obteve acesso a credenciais da nossa rede de distribui uevo de conte uevo (CDN) e usou-as para servir uma vers uevoo adulterada do ficheiro JavaScript que estes produtos distribuem para os sites dos clientes. Durante um per uevoodo limitado, os sites que incorporam o nosso script carregaram este ficheiro modificado diretamente da nossa CDN.

O c uevoigo malicioso s uevo ativou para administradores do WordPress com sess uevoo iniciada. Quando executado num site afetado, tentou criar uma conta de administrador oculta e instalar um plugin de backdoor dissimulado, enviando depois dados para um servidor controlado pelo atacante. Visitantes comuns do site n uevoo foram alvo, mas como o c uevoigo pode dar a um atacante o controlo de um site, qualquer site afetado deve ser tratado como comprometido.

Âmbito – o que foi e o que n uevoo foi alcan uevoado: 

Os nossos servidores de aplica uevoo, o nosso c uevoigo fonte e os sistemas que armazenam as informa uevoes da sua conta PushEngage est uevoo alojados separadamente e n uevoo foram violados. N uevoo temos evid uevoncias de que os dados da conta ou os detalhes pessoais detidos por n uevoos tenham sido acedidos. A viola uevoo limitou-se ao nosso servidor do site de marketing e, atrav uevoos de uma chave API da CDN armazenada nele, uevo nossa conta CDN. Importante, isto n uevoo reduz a urg uevoncia para os propriet uevoios de sites afetados: o ficheiro entregue ao seu site foi adulterado, uevo que uevo raz uevoo pela qual os passos abaixo ainda importam se esteve na janela de exposi uevoo.

Quem precisa de agir agora: Se o seu site tinha o PushEngage ativo e um administrador iniciou sess uevoo durante a janela de exposi uevoo abaixo, por favor, trate o seu site como comprometido e siga [O que verificar e fazer](#what-to-check-and-do) imediatamente. As verifica uevoes mais fi uevoveis ocorrem no seu servidor, n uevoo no painel do WordPress.

Janela de exposi uevoo

Com base nos registos do nosso fornecedor de CDN, a configura uevoo n uevoo autorizada com ficheiros adulterados esteve em vigor durante aproximadamente v uevorias horas em 12 de junho de 2026 (UTC). Para um subconjunto de utilizadores, continuou a servir at uevo at uevo 14 de junho (UTC) a partir de certas localiza uevoes de ponta da CDN. Continuamos a confirmar o per uevoodo preciso durante o qual o conte uevoo afetado foi servido e atualizaremos este aviso uevo medida que detalhes adicionais forem verificados.

Apenas os sites que carregaram o script afetado com um administrador com sess uevoo iniciada durante esta janela poderiam ter sido comprometidos.

Os ficheiros afetados foram os scripts de incorpora uevoo padr uevoo servidos a partir de:

O que aconteceu

Um atacante explorou uma vulnerabilidade conhecida num plugin de terceiros do WordPress (UpdraftPlus) para obter acesso ao servidor que aloja o nosso site de marketing. Este servidor uevo totalmente separado: anfitri uevoo diferente, infraestrutura diferente dos servidores de aplica uevoo que executam o PushEngage e que armazenam dados de clientes.

No servidor de marketing, o atacante localizou uma chave de API para a nossa conta CDN. Usando essa chave, não precisaram tocar na origem da nossa aplicação. Modificaram os ficheiros que a nossa CDN estava a servir, pelo que o script adulterado foi entregue a sites que o incorporavam por um período limitado antes de detetarmos e revertemos a alteração.

Desde então, corrigimos o site de marketing, migrámo-lo para um novo servidor e rotámos todas as credenciais, incluindo a chave de API da CDN.

O que o código malicioso fez

Num site afetado, quando um administrador com sessão iniciada carregava uma página, o código tentava:

  1. Confirmar que estava a ser executado num contexto de administrador WordPress e, em seguida, recolher os tokens de segurança necessários para agir como esse administrador.
  2. Criar uma conta de administrador oculta. As contas conhecidas incluem developer_api1 ([email protected]) e contas aleatórias da forma dev_xxxxxx.
  3. Instalar um plugin de backdoor auto-oculto que se esconde do painel e expõe um shell web não autenticado e um endpoint de execução de código — concedendo efetivamente controlo total do site.
  4. Enviar as novas credenciais e detalhes do site para um servidor controlado pelo atacante.

Como o backdoor se esconde dos ecrãs de administração do WordPress, o painel sozinho não lhe dirá se está afetado. As verificações fiáveis estão no sistema de ficheiros do servidor e através de uma análise do lado do servidor.

O que verificar e fazer

Se teve o PushEngage a funcionar no seu site E um administrador iniciou sessão no seu site WordPress durante a janela de exposição, faça o seguinte o mais rapidamente possível. Se não tem a certeza se um administrador iniciou sessão, é mais seguro verificar.

  1. Remova contas de administrador ilegítimas. Procure por developer_api1 / [email protected] e quaisquer contas dev_xxxxxx inesperadas e elimine-as.
  1. Verifique o sistema de ficheiros — não apenas o painel — à procura do plugin de backdoor. Em wp-content/plugins, procure por content-delivery-helper (“Content Delivery Helper”) ou database-optimizer (“Database Optimizer”). O disfarce roda, pelo que confie no que está no disco em vez do que o painel mostra. Remova quaisquer que encontre.
  1. Execute uma análise de malware do lado do servidor. Como o payload só foi executado para administradores com sessão iniciada, as verificações do painel e do lado do cliente são pouco fiáveis; uma análise do lado do servidor é a forma mais fiável de encontrar o backdoor ou quaisquer alterações adicionais.
  1. Se encontrar algum indicador acima, assuma compromisso total e rotacione tudo: senhas de administrador, chaves de aplicação/API, credenciais de base de dados e as suas chaves/salts de segurança do WordPress em wp-config.php. O backdoor permitiu a execução de código arbitrário, pelo que pode existir persistência adicional.

Se não encontrar nenhum destes indicadores e nenhum administrador iniciou sessão durante a janela, o seu site está muito provavelmente não afetado e nenhuma ação é necessária além da higiene padrão (ativar autenticação de dois fatores, manter o software atualizado).

O que fizemos até agora

  • Detetámos a adulteração e revertemos imediatamente os ficheiros CDN afetados; purgámos a cache da CDN para que sejam servidos ficheiros limpos.
  • Revogámos e rotámos a chave de API da CDN e todas as credenciais relacionadas.
  • Corrigiu o website de marketing comprometido e migrou-o para um novo servidor numa infraestrutura separada.
  • Confirmou que os nossos servidores de aplicações, código fonte e sistemas de dados de clientes, que estão em infraestruturas separadas, não mostram qualquer evidência de acesso.
  • Envolveu a nossa equipa de segurança e está a trabalhar com o nosso fornecedor de CDN para obter os registos de entrega.

Estado e risco em curso

A nossa configuração de CDN foi corrigida e os ficheiros adulterados removidos, as credenciais afetadas foram rotacionadas e o ponto de entrada no nosso servidor de marketing foi corrigido. 

Corrigir os nossos sistemas não limpa um site que já foi comprometido. Se o seu site foi afetado durante a janela de exposição, a conta de administrador ilegítima e o plugin de backdoor oculto permanecem ativos até que os remova utilizando os passos acima. Recomendamos que aja prontamente. Atualizaremos esta página se surgirem informações adicionais relevantes.

Indicadores de comprometimento

Para proprietários de sites e equipas de segurança:

Contas ilegítimas:

Disfarces de plugin de backdoor (a rodar; verifique o sistema de ficheiros):

  • content-delivery-helper   “Content Delivery Helper”   v2.7.1
  • database-optimizer        “Database Optimizer”         v2.9.4

Infraestrutura do atacante:

  • tidio.cc   (domínio semelhante — NÃO o legítimo tidio.com)

Strings únicas:

  • jX9kM2nP4qR6sT8v            (chave de encriptação utilizada pelo malware)
  • WPM File Manager & Shell    (interface de shell de backdoor)

Contato

Se tiver dúvidas, precisar de ajuda para verificar o seu site, ou notar algo invulgar, contacte-nos através de [email protected]. Estamos a priorizar as consultas relacionadas com o incidente e manteremos esta página atualizada.

Proteger os nossos clientes é uma prioridade para nós. Compreendemos que este incidente possa ser preocupante e lamentamos qualquer interrupção que tenha causado. As informações acima refletem a nossa investigação até à data e atualizaremos esta página à medida que detalhes adicionais forem confirmados.

Adicionar um Comentário

Temos todo o gosto que tenha escolhido deixar um comentário. Por favor, tenha em mente que todos os comentários são moderados de acordo com a nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

Interaja e Mantenha Visitantes Depois de Saírem do Seu Website

Aumente o valor de cada visita web com Notificações Push que são difíceis de ignorar.

Experimente o PushEngage
  • Plano Gratuito para Sempre
  • Configuração Fácil
  • Suporte 5 Estrelas

Mais de 100 mil milhões de notificações enviadas

100% Seguro e em Conformidade com o RGPD

Confiam em nós clientes de mais de 150 países