攻撃者がYTTH WooCommerceギフトカードプレミアムプラグインの脆弱性を悪用

YTTH WooCommerceギフトカードプレミアムプラグインの重大な脆弱性が攻撃者によって精力的に悪用されています。このプラグインは、ウェブサイトの所有者がオンラインストアでギフトカードを販売するために使用しており、50,000以上のウェブサイトで使用されています。

悪用されている脆弱性はCVE-2022-45359（CVSS v3: 9.8）として特定されており、ハッカーが保護されていないウェブサイトにファイルをアップロードできるようにし、ウェブシェルを含むファイルがウェブサイトへの完全なアクセスを提供します。

CVE-2022-45359の脆弱性は2022年11月22日に公表され、プラグインのすべてのバージョンに影響を及ぼし、v3.19.0までのバージョンが対象です。この重大な脆弱性はv3.20.0で修正されましたが、プラグインの開発者はすでにv3.21.0をリリースしており、ギフトカードプレミアムプラグインを使用している人々には更新が推奨されています。

とはいえ、多くの人々が最新バージョンにアップグレードしておらず、脆弱なバージョンを使用しているため、ハッカーはすでに攻撃するための実行可能な方法を構築しています。

Wordfence（セキュリティ用のWordPressプラグイン）のセキュリティ専門家によると、悪用はすでに進行中で、攻撃者は脆弱性を利用してコード実行を取得し、ウェブサイトにバックドアを適用し、乗っ取り攻撃を開始しています。

Wordfenceの人々は、攻撃でハッカーが使用した悪用をエンジニアリングし、脆弱性がプラグインの「import_actions_from_settings_panel」にあることを発見しました。この関数は「admin_init」フックで実行されます。また、この関数は脆弱なバージョンに対してCSRF（クロスサイトリクエストフォージェリ）や能力チェックを行いません。

読む: ゴッドファーザーAndroidマルウェアが銀行ウェブサイトと暗号交換のデータを盗む

これら2つの問題により、攻撃者は関連するフレームワークを使用して「/wp/admin/admin-post.php」にPOSTリクエストを送信し、ウェブサイトに悪意のあるPHP実行ファイルをアップロードします。

さらに、攻撃者がimporting_gift_cardsに設定されたページパラメータを含むリクエストを送信し、Wordfenceに追加されたfile_import_csvファイルパラメータにペイロードを設定することは簡単です。

悪意のあるリクエストは、未知のIPアドレスからの予期しないPOSTリクエストとしてログに現れ、ウェブサイトの所有者に攻撃を受けていることを知らせます。

Wordfenceが確認したファイルは以下の通りです。

kon.php/1tes.php - このファイルは、リモートロケーションからマリファナシェルファイルマネージャーのコピーをメモリに読み込みます（shell[.]prinish.[.]com）。

b.php - 単純なアップローダーファイルです。

Admin.php - パスワード保護されたバックドアです。

Wordfenceの専門家は、攻撃の大部分がプラグインの管理者が重大な脆弱性を修正する前の11月に発生したと考えています。これに加えて、2022年12月14日に観察された第2波もありました。

このIPアドレス103.138.108.15は、攻撃の重要な発信源であり、10,936のウェブサイトに対して19,604回の悪用試行を行い、使用された2番目のIPアドレスは188.66.0.135で、908のWordPressウェブサイトに対して1,220回の攻撃を行いました。

悪用の試行はまだ進行中であるため、YTTHギフトカードプレミアムプラグインのユーザーは、ウェブサイトの悪用を避けるために最新バージョンであるv3.21.0に更新することを推奨します！

読む: マディウォーター、ハッカーグループがフィッシングメッセージを送信するために侵害された企業メールを使用