Hackers estão explorando amplamente um plugin crítico de pagamentos WooCommerce para obter os privilégios de quaisquer usuários, incluindo administradores, em instalações vulneráveis do WordPress.
O WooCommerce Payments é um plugin do WordPress muito popular que permite aos sites aceitar cartões de crédito e débito como pagamento nas lojas WooCommerce.
De acordo com o WordPress, o plugin é usado em mais de 600.000 instalações ativas.
Em 23 de março de 2023, os desenvolvedores lançaram a versão 5.6.2 para corrigir a vulnerabilidade crítica classificada com nota 9.8 rastreada como
CVE-2023-28121
.
A falha afeta as versões do plugin de pagamento WooCommerce 4.8.0 e superiores, sendo corrigida nas versões 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2 e posteriores.
Como a vulnerabilidade permite que qualquer usuário remoto se passe por um administrador e tome controle total de um site WordPress, Automattic forçou a instalação da correção de segurança em instalações do WordPress que utilizam o plugin.
Na época, WooCommerce disse que não havia qualquer exploração ativa conhecida da vulnerabilidade, mas pesquisadores alertaram que, devido à natureza crítica do bug, provavelmente veríamos explorações no futuro.
Este mês, pesquisadores da RCE Security analisaram o bug e lançaram um blog técnico sobre a vulnerabilidade
CVE-2023-28121
e como ela pode ser explorada.
Os pesquisadores explicam que os invasores podem simplesmente adicionar um cabeçalho de solicitação 'X-WCPAY-PLATFORM-CHECKOUT-USER' e definir o mesmo para o ID do usuário da conta que desejam se passar.
Quando o WooCommerce Payments vê esse cabeçalho, ele tratará a solicitação como se fosse do user ID especificado, incluindo todos os privilégios do usuário.
Como parte do post do blog, a RCE Security divulgou uma prova de conceito que explora essa falha para criar um novo usuário administrador em sites WordPress vulneráveis, facilitando que os atores de ameaças assumam o controle total do site.
Hoje, a empresa de segurança do WordPress, Wordfence, alertou que atores de ameaças estão explorando essa vulnerabilidade em uma campanha massiva que visou mais de 157.000 sites até sábado.
"Ataques em grande escala contra a vulnerabilidade, designada
CVE-2023-28121
, começaram na quinta-feira, 14 de julho de 2023 e continuaram no final de semana, atingindo o pico de 1,3 milhão de ataques contra 157.000 sites no sábado, 16 de julho de 2023", explica Wordfence.
A Wordfence diz que os atores de ameaças usam a exploração para instalar o plugin WP Console ou criar contas de administrador no dispositivo alvo.
Para os sistemas que tinham o WP Console instalado, os atores de ameaças usaram o plugin para executar código PHP que instala um carregador de arquivos no servidor que pode ser usado como uma porta dos fundos, mesmo após a vulnerabilidade ser corrigida.
Wordfence diz que eles viram outros atores de ameaças usando a exploração para criar contas de administrador com senhas aleatórias.
Para procurar por sites WordPress vulneráveis, os atores de ameaças tentaram acessar o arquivo '/wp-content/plugins/woocommerce-payments/readme.txt' e, se ele existir, eles exploram a falha.
Os pesquisadores compartilharam sete endereços IP responsáveis por esses ataques, sendo o endereço IP 194.169.175.93 responsável por escanear 213.212 sites.
O BleepingComputer viu uma atividade semelhante em nossos registros de acesso, a partir de 12 de julho.
Devido à facilidade com que o
CVE-2023-28121
pode ser explorado, é fortemente aconselhado que todos os sites que utilizem o plugin de pagamento WooCommerce garantam que suas instalações estão atualizadas.
Se você não atualizou sua instalação recentemente, também é aconselhado que os administradores do site verifiquem seus sites em busca de arquivos PHP incomuns e contas de administrador suspeitas e excluam qualquer uma que seja encontrada.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...