(https://i.postimg.cc/Xv2GYNtV/Word-Press.png) (https://postimages.org/)
Los piratas informáticos están explotando activamente una vulnerabilidad crítica, rastreada como CVE-2022-45359 (CVSS v3: 9.8 ), que afecta al complemento de WordPress YITH WooCommerce Gift Cards Premium.
El complemento YITH WooCommerce Gift Cards Premium permite que los sitios web de las tiendas en línea vendan tarjetas de regalo, un complemento de WordPress utilizado en más de 50,000 sitios web.
La falla CVE-2022-45359 es un problema de carga arbitraria de archivos que puede permitir que un atacante no autenticado cargue archivos en sitios vulnerables, incluidos web shells que brindan acceso completo al sitio.
El problema se descubrió el 22 de noviembre de 2022 y se solucionó con el lanzamiento de la versión 3.20.0.
Debido a la presencia de muchos sitios web que aún usan versiones vulnerables del complemento, los actores de amenazas están explorando la falla en los ataques en la naturaleza para cargar puertas traseras en las tiendas electrónicas.
"El equipo de Wordfence Threat Intelligence ha estado rastreando exploits dirigidos a una vulnerabilidad de carga arbitraria de archivos de gravedad crítica en YITH WooCommerce Gift Cards Premium, un complemento con más de 50,000 instalaciones según el proveedor". informó Wordfence. "Esto permite a los atacantes colocar una puerta trasera, obtener la ejecución remota de código y hacerse cargo del sitio".
Los investigadores pudieron aplicar ingeniería inversa al exploit y descubrieron que el problema radica en la función import_actions_from_settings_panel que se ejecuta en el gancho admin_init .
El enlace se ejecuta para cualquier página en el directorio /wp-admin/ y permite activar funciones que se ejecutan en él como un atacante no autenticado enviando una solicitud a /wp-admin/admin-post.php.
Los expertos notaron que la función import_actions_from_settings_panel también carece de una verificación de capacidad y una verificación CSRF. Un atacante no autenticado puede enviar solicitudes POST a "/wp-admin/admin-post.php" usando ciertos parámetros para cargar un ejecutable PHP malicioso en el sitio.
"Dado que la función import_actions_from_settings_panel también carece de una verificación de capacidad y una verificación CSRF, es trivial que un atacante simplemente envíe una solicitud que contenga un parámetro de página establecido en yith_woocommerce_gift_cards_panel, un parámetro ywgc_safe_submit_field establecido en importing_gift_cards y una carga útil en el parámetro de archivo file_import_csv. " continúa el informe. "Dado que la función tampoco realiza ninguna verificación de tipo de archivo, se puede cargar cualquier tipo de archivo, incluidos los archivos PHP ejecutables".
Los expertos agregaron que es posible descubrir los ataques analizando los registros y verificando las solicitudes POST inesperadas a wp-admin/admin-post.php desde direcciones IP desconocidas.
A continuación, se muestran algunos archivos subidos por actores de amenazas en ataques analizados por Wordfence:
kon.php/1tes.php: este archivo carga una copia del administrador de archivos "marijuana shell" en la memoria desde una ubicación remota (shell[.]prinsh[.]com)
b.php: este archivo es un cargador simple
admin.php: este archivo es una puerta trasera protegida con contraseña
La mayoría de los ataques observados por Wordfence se originaron en 103.138.108.15 (19604 ataques contra 10936 sitios diferentes) y 188.66.0.135 direcciones IP (1220 ataques contra 928 sitios).
"La mayoría de los ataques ocurrieron el día después de que se reveló la vulnerabilidad, pero han estado en curso, con otro pico el 14 de diciembre de 2022. Como esta vulnerabilidad es fácil de explotar y proporciona acceso completo a un sitio web vulnerable, esperamos que los ataques continúen hasta bien entrada la el futuro." concluye el informe.
Fuente:
SecurityAffairs
https://securityaffairs.co/wordpress/140004/hacking/wordpress-gift-card-plugin-attacks.html