Angreifer nutzen eine Schwachstelle im YTTH WooCommerce Gift Card Premium Plugin aus

Eine kritische Schwachstelle im YTTH WooCommerce Gift Cards Premium Plugin wird von Angreifern intensiv ausgenutzt. Nun, es ist ein Plugin, das die Betreiber der Website verwenden, um Geschenkkarten in ihren Online-Shops zu verkaufen, und das Plugin wird auf mehr als 50.000 Websites verwendet.

Die ausgenutzte Schwachstelle wird als CVE-2022-45359 (CVSS v3: 9.8) zurückverfolgt, die es den Hackern ermöglicht, Dateien auf ungeschützte Websites hochzuladen, einschließlich Web-Shells, die vollen Zugriff auf die Website gewähren.

Die Schwachstelle CVE-2022-45359 wurde am 22. November 2022 der Öffentlichkeit mitgeteilt und betrifft alle Versionen des Plugins bis v3.19.0. Der kritische Fehler wurde in v3.20.0 behoben, obwohl die Verantwortlichen des Plugins bereits die v3.21.0 veröffentlicht haben, auf die die Benutzer des Gift Card Premium Plugins aktualisieren sollten.

Das gesagt, haben viele Menschen nicht auf die neueste Version aktualisiert und verwenden daher die anfällige Version, und die Hacker haben bereits eine funktionierende Methode entwickelt, um sie anzugreifen.

Laut den Sicherheitsexperten von Wordfence (einem WordPress-Plugin für Sicherheit) ist der Exploit bereits im Gange, wobei die Angreifer die Schwachstelle bereits nutzen, um Codeausführung zu erlangen, Hintertüren auf den Websites zu installieren und Übernahmeangriffe zu starten.

Die Leute bei Wordfence haben einen Exploit entwickelt, der von den Hackern in den Angriffen verwendet wurde, und sie fanden heraus, dass die Schwachstelle in der Funktion „import_actions_from_settings_panel“ des Plugins lag, die am „admin_init“-Hook ausgeführt wird. Außerdem führt diese Funktion keine CSRF (Cross-Site Request Forgery) oder fähige Überprüfungen in anfälligen Versionen durch.

Lesen: Godfather Android Malware stiehlt Daten von Bank-Websites und Krypto-Börsen

Nun, diese beiden Probleme führen dazu, dass die Angreifer POST-Anfragen an „/wp/admin/admin-post.php“ senden, um mit dem relevanten Framework eine bösartige PHP-executive auf der Website hochzuladen.

Darüber hinaus ist es für einen Angreifer trivial, eine Anfrage zu senden, die Seitenparameter enthält, die auf yith_wocommerece_gift_cards_panel_a_ywgc_safe_submit_field auf importing_gift_cards gesetzt sind, und eine Payload in den file_import_csv-Dateiparametern, die Wordfence hinzugefügt hat.

Die bösartigen Anfragen erscheinen in den Protokollen als unerwartete POST-Anfragen von einer unbekannten IP-Adresse, was dem Eigentümer der Website signalisiert, dass sie angegriffen werden.

Dies sind die folgenden Dateien, die Wordfence gesehen hat.

kon.php/1tes.php - diese Datei lädt eine Kopie des Marijuana-Shell-Dateimanagers aus einem entfernten Standort in den Speicher (shell[.]prinish.[.]com).

b.php - einfach eine einfache Upload-Datei.

Admin.php - passwortgeschützte Hintertür.

Die Experten von Wordfence glauben, dass die Mehrheit der Angriffe im November stattfand, bevor der Plugin-Administrator den kritischen Fehler beheben konnte. Darüber hinaus wurde die zweite Welle, die stattfand, am 14. Dezember 2022 beobachtet.

Diese IP-Adresse 103.138.108.15 war die wichtige Quelle des Angriffs und startete 19.604 Ausbeutungsversuche auf 10.936 Websites, und die zweite verwendete IP-Adresse ist 188.66.0.135, die 1.220 Angriffe gegen 908 WordPress-Websites durchführte.

Die Ausbeutungsversuche sind weiterhin im Gange, daher wird den Benutzern des YTTH Gift Card Premium Plugins empfohlen, auf die neueste Version, d.h. v3.21.0, zu aktualisieren, um eine Ausbeutung ihrer Websites zu vermeiden!

Lesen: Muddy Water, eine Hackergruppe, die kompromittierte Unternehmens-E-Mails zum Versenden von Phishing-Nachrichten verwendete