Les attaquants exploitent une faille dans le plugin premium YTTH WooCommerce Gift Card

Une faille critique dans le plugin YTTH WooCommerce Gift Cards Premium est exploitée avec diligence par des attaquants. Eh bien, c’est un plugin que les propriétaires de sites utilisent pour vendre des cartes-cadeaux dans leurs boutiques en ligne, et le plugin est utilisé sur plus de 50 000 sites web.

La vulnérabilité qui est exploitée est identifiée comme CVE-2022-45359 (CVSS v3 : 9.8), permettant aux hackers de télécharger des fichiers sur des sites web non protégés, y compris des shells web qui donnent un accès complet au site.

La vulnérabilité CVE-2022-45359 a été communiquée au public le 22 novembre 2022, affectant toutes les versions du plugin jusqu’à v3.19.0, et la faille critique a été corrigée dans v3.20.0 bien que les personnes derrière le plugin aient déjà publié la v3.21.0, que les utilisateurs du plugin premium de cartes-cadeaux sont invités à mettre à jour.

Cela dit, de nombreuses personnes n’ont pas mis à niveau vers la dernière version, utilisant donc la version vulnérable, et les hackers ont déjà élaboré une méthode fonctionnelle pour les attaquer.

Selon les experts en sécurité de Wordfence (un plugin WordPress pour la sécurité), l’exploitation est déjà en cours, les attaquants utilisant déjà la vulnérabilité pour obtenir une exécution de code, appliquer des portes dérobées sur les sites web et commencer les attaques de prise de contrôle.

Les personnes de Wordfence ont ingénieusement conçu une exploitation qui a été utilisée par les hackers lors des attaques, et ils ont découvert que la vulnérabilité se trouvait dans la fonction “import_actions_from_settings_panel” du plugin, une fonction qui s’exécute sur le hook “admin_init”. De plus, cette fonction ne réalise pas de vérifications CSRF (Cross-Site Request Forgery) ou de contrôles sur les versions vulnérables.

Lire : Godfather Android Malware Volant des Données de Sites Bancaires & d’Échanges de Crypto

Eh bien, ces deux problèmes amènent les attaquants à envoyer des requêtes POST à “/wp/admin/admin-post.php” en utilisant le framework pertinent pour télécharger un exécutable PHP malveillant sur le site web.

De plus, il est trivial pour un attaquant d’envoyer une requête contenant des paramètres de page définis sur yith_wocommerece_gift_cards_panel_a_ywgc_safe_submit_field définis sur importing_gift_cards et une charge utile dans les paramètres de fichier file_import_csv ajoutés par Wordfence.

Les requêtes malveillantes apparaissent dans les journaux comme des requêtes POST inattendues provenant d’une adresse IP inconnue, ce qui signale au propriétaire du site qu’il est sous attaque.

Voici les fichiers suivants que Wordfence a observés.

kon.php/1tes.php - ce fichier charge une copie du gestionnaire de fichiers shell de marijuana en mémoire depuis un emplacement distant (shell[.]prinish.[.]com).

b.php - juste un simple fichier téléchargeur.

Admin.php - porte dérobée protégée par mot de passe.

Les experts de Wordfence croient que la majorité des attaques ont eu lieu en novembre avant que l’administrateur du plugin puisse corriger la faille critique. De plus, la deuxième vague qui s’est produite a été observée le 14 décembre 2022.

Cette adresse IP 103.138.108.15 a été la source importante de l’attaque, lançant 19 604 tentatives d’exploitation sur 10 936 sites web, et la deuxième adresse IP utilisée est 188.66.0.135, qui a effectué 1 220 attaques contre 908 sites WordPress.

Les tentatives d’exploitation sont toujours en cours, donc les utilisateurs du plugin premium YTTH Gift card sont invités à mettre à jour vers la dernière version, c’est-à-dire v3.21.0, pour éviter l’exploration de leurs sites web !

Lire : Muddy Water, un groupe de hackers a utilisé des e-mails d’entreprise compromis pour envoyer des messages de phishing