Wordpress

Gli hacker sfruttano il bug critico di WordPress WooCommerce Payments

WordPress.jpg

Gli hacker stanno conducendo uno sfruttamento diffuso di un plug-in WooCommerce Payments critico per ottenere i privilegi di qualsiasi utente, inclusi gli amministratori, sull’installazione vulnerabile di WordPress.

WooCommerce Payments è un plug-in WordPress molto popolare che consente ai siti Web di accettare carte di credito e di debito come pagamento nei negozi WooCommerce. Secondo wordpressil plugin è utilizzato su oltre 600.000 installazioni attive.


Il 23 marzo 2023, il sviluppatori rilasciati versione 5.6.2 per correggere la vulnerabilità critica di livello 9.8 tracciata come CVE-2023-28121. Il difetto interessa le versioni 4.8.0 e successive del plug-in WooCommerce Payment, essendo stato risolto nelle versioni 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 , 5.6.2 e successive.

Poiché la vulnerabilità consente a qualsiasi utente remoto di impersonare un amministratore e assumere il controllo completo su un sito WordPress, La forza automatica ha installato la correzione di sicurezza di installazioni WordPress che utilizzano il plugin.

A quel tempo, WooCommerce ha affermato che non era noto lo sfruttamento attivo della vulnerabilità, ma i ricercatori hanno avvertito che, a causa della natura critica del bug, probabilmente avremmo visto lo sfruttamento in futuro.

Difetto sfruttato attivamente

Questo mese, i ricercatori di RCE Security hanno analizzato il bug e rilasciato un file blog tecnico sulla vulnerabilità CVE-2023-28121 e su come può essere sfruttata.

I ricercatori spiegano che gli aggressori possono semplicemente aggiungere un ‘X-WCPAY-PLATFORM-CHECKOUT-UTENTE‘ request header e impostalo sull’ID utente dell’account che desiderano impersonare.

Quando WooCommerce Payments vede questa intestazione, tratterà la richiesta come se provenisse dall’ID utente specificato, inclusi tutti i privilegi dell’utente.

Come parte del post sul blog, RCE Security ha rilasciato un exploit proof-of-concept che utilizza questo difetto per creare un nuovo utente amministratore su siti WordPress vulnerabili, rendendo facile per gli attori delle minacce assumere il controllo completo del sito.

Utilizzo dell’exploit per creare l’account amministratore “compromesso”.
Fonte: Sicurezza RCE

Oggi, la società di sicurezza di WordPress Wordfence ha avvertito che gli attori delle minacce stanno sfruttando questa vulnerabilità in una massiccia campagna che ha preso di mira oltre 157.000 siti entro sabato.

“Gli attacchi su larga scala contro la vulnerabilità, assegnati CVE-2023-28121, sono iniziati giovedì 14 luglio 2023 e sono proseguiti durante il fine settimana, raggiungendo un picco di 1,3 milioni di attacchi contro 157.000 siti sabato 16 luglio 2023”, spiega Wordfence.

Wordfence afferma che gli attori delle minacce utilizzano l’exploit per installare il Plug-in della console WP o creare account amministratore sul dispositivo di destinazione.

Per quei sistemi su cui è stata installata WP Console, gli attori delle minacce hanno utilizzato il plug-in per eseguire codice PHP che installa un uploader di file sul server che può essere utilizzato come backdoor anche dopo che la vulnerabilità è stata risolta.

Exploit per eliminare un file PHP caricato su siti WordPress
Fonte: Wordfence

Wordfence afferma di aver visto altri aggressori utilizzare l’exploit per creare account amministratore con password casuali.

Per cercare siti WordPress vulnerabili, gli autori delle minacce tentano di accedere al file “/wp-content/plugins/woocommerce-payments/readme.txt” e, se esiste, sfruttano il difetto.

I ricercatori hanno condiviso sette indirizzi IP responsabili di questi attacchi, con l’indirizzo IP 194.169.175.93 che scansiona 213.212 siti.

BleepingComputer ha rilevato attività simili nei nostri registri di accesso, a partire dal 12 luglio.

A causa della facilità con cui CVE-2023-28121 può essere sfruttato, si consiglia vivamente a tutti i siti che utilizzano il plug-in WooCommerce Payment di assicurarsi che le loro installazioni siano aggiornate.

Se non hai aggiornato la tua installazione di recente, si consiglia inoltre agli amministratori del sito di scansionare i propri siti alla ricerca di file PHP insoliti e account amministratore sospetti ed eliminare quelli trovati.

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Supporto
1
🛎️ Chatta con noi!
Scan the code
Ciao 👋
Hai bisogno di aiuto?