O vulnerabilitate critică WooCommerce permite privilegii de administrator pe site-urile WordPress (CVE-2023-28121)
Thursday, July 20, 2023
O campanie activă de exploatare care vizează o vulnerabilitate în pluginul WooCommerce Payments (CVE-2023-28121) a fost recent dezvăluită de cercetătorii din domeniul securității cibernetice. Există mai mult de 600.000 de site-uri web WordPress care folosesc acest plugin.
Această campanie de exploatare direcționată se distinge de campaniile tipice la scară largă care atacă fără discriminare numeroase site-uri web. Wordfence, un firewall de aplicație web pentru site-uri WordPress, a observat că această campanie se concentrează pe un subset mai mic de site-uri web.
Care este vulnerabilitatea în WooCommerce Payments?
Vulnerabilitatea critică, identificată ca CVE-2023-28121, are un scor CVSS de 9,8. Exploatarea cu succes a CVE-2023-28121 permite atacatorilor neautorizați să obțină privilegii administrative pe site-urile WordPress vulnerabile.
Versiunile 4.8.0 până la 5.6.1 ale pluginului WooCommerce Payments sunt susceptibile de exploatare.
Campania a început pe 14 iulie 2023, a câștigat avânt și a atins apogeul pe 16 iulie, cu 1,3 milioane de atacuri vizând 157.000 de site-uri web.
Cercetătorii raportează că au detectat semne de atacuri iminente cu câteva zile înainte printr-o creștere a cererilor de enumerare a pluginurilor. Aceste solicitări au căutat un anumit fișier, readme.txt, în directorul wp-content/plugins/woocommerce-payments/ de pe milioane de site-uri.
Comun tuturor exploit-urilor care vizează vulnerabilitatea WooCommerce Payments este următorul antet, care face ca site-urile vulnerabile să trateze orice încărcătură suplimentară ca provenind de la un utilizator administrativ:
X-Wcpay-Platform-Checkout-Utilizator: 1
Multe dintre solicitările observate folosind aceasta par să încerce să-și folosească noile privilegii administrative pentru a instala pluginul WP Console, care poate fi folosit de un administrator pentru a executa cod pe un site.
Odată ce pluginul WP Console este instalat, atacatorii îl folosesc pentru a executa cod malware și pentru a plasa un fișier de încărcare pentru a stabili persistența.
Sarcina utilă din acest exemplu special are un hash MD5 de fb1fd5d5ac7128bf23378ef3e238baba atunci când este salvată în sistemul de fișiere al victimei, iar scanerul Wordfence a furnizat detectarea acestuia din iulie 2021.
S-a mai observat, de asemenea, că atacatorii creează utilizatori administratori rău intenționați cu nume de utilizator alfanumerice aleatorii, cum ar fi „ac9edbbe”.
Ca atare, dacă site-ul tău are instalată o versiune vulnerabilă a pluginului de plăți WooCommerce, îți recomandăm insistent să verifici dacă există pluginuri neautorizate sau utilizatori administratori, deoarece acestea pot indica că site-ul tău a fost compromis.
« înapoi