Gli aggressori sfruttano una vulnerabilità nel plugin YTTH WooCommerce Gift Card Premium

Una vulnerabilità critica nel plugin YTTH WooCommerce Gift Cards Premium è attivamente sfruttata dagli aggressori. Bene, è un plugin che i proprietari dei siti web utilizzano per vendere carte regalo nei loro negozi online, e il plugin è utilizzato su più di 50K siti web.

La vulnerabilità che viene sfruttata è tracciata come CVE-2022-45359 (CVSS v3: 9.8), consentendo agli hacker di caricare file su siti web non protetti, che includono web shell che danno accesso completo al sito web.

La vulnerabilità CVE-2022-45359 è stata informata al pubblico il 22 novembre 2022, interessando tutte le versioni del plugin fino alla v3.19.0, e la vulnerabilità critica è stata affrontata nella v3.20.0 anche se le persone dietro il plugin hanno già rilasciato la v3.21.0, che si raccomanda di aggiornare a chi utilizza il plugin Gift card premium.

Detto ciò, molte persone non hanno aggiornato all’ultima versione, quindi utilizzano la versione vulnerabile, e gli hacker hanno già costruito un metodo funzionante per attaccarli.

Secondo gli esperti di sicurezza di Wordfence (un plugin WordPress per la sicurezza), lo sfruttamento è già in corso, con gli aggressori che utilizzano già la vulnerabilità per ottenere l’esecuzione di codice, applicare backdoor sui siti web e avviare attacchi di takeover.

Le persone di Wordfence hanno ingegnerizzato uno sfruttamento che è stato utilizzato dagli hacker negli attacchi, e hanno scoperto che la vulnerabilità si trovava nella funzione “import_actions_from_settings_panel” del plugin, una funzione che viene eseguita sul gancio “admin_init”. Inoltre, questa funzione non esegue controlli CSRF (Cross-Site Request Forgery) o controlli di capacità sulle versioni vulnerabili.

Leggi: Godfather Android Malware ruba dati di siti web bancari e scambi di criptovalute

Bene, questi due problemi fanno sì che gli aggressori inviino richieste POST a “/wp/admin/admin-post.php” utilizzando il framework pertinente per caricare un eseguibile PHP malevolo sul sito web.

Inoltre, è banale per un aggressore inviare una richiesta contenente parametri di pagina impostati su yith_wocommerece_gift_cards_panel_a_ywgc_safe_submit_field impostati su importing_gift_cards e un payload nei parametri del file file_import_csv aggiunti da Wordfence.

Le richieste malevole appaiono nei log come richieste POST inaspettate da un indirizzo IP sconosciuto, il che segnala al proprietario del sito web che sono sotto attacco.

Questi sono i seguenti file che Wordfence ha visto.

kon.php/1tes.php - questo file carica una copia del file manager shell di marijuana in memoria da una posizione remota (shell[.]prinish.[.]com).

b.php - solo un semplice file uploader.

Admin.php - backdoor protetta da password.

Gli esperti di Wordfence credono che la maggior parte degli attacchi sia avvenuta a novembre prima che l’amministratore del plugin potesse correggere la vulnerabilità critica. Inoltre, la seconda ondata che è avvenuta è stata osservata il 14 dicembre 2022.

Questo indirizzo IP 103.138.108.15 è stata la fonte importante dell’attacco, lanciando 19.604 tentativi di sfruttamento su 10.936 siti web, e il secondo indirizzo IP utilizzato è 188.66.0.135, che ha effettuato 1.220 attacchi contro 908 siti web WordPress.

I tentativi di sfruttamento sono ancora in corso, quindi si raccomanda agli utenti del plugin YTTH Gift card premium di aggiornare all’ultima versione, ovvero la v3.21.0, per evitare l’esplorazione dei loro siti web!

Leggi: Muddy Water, un gruppo di hacker ha utilizzato email aziendali compromesse per inviare messaggi di phishing