YTTH WooCommerce 기프트 카드 프리미엄 플러그인에서 발견된 취약점을 공격자들이 악용

YTTH WooCommerce 기프트 카드 프리미엄 플러그인에서 발견된 심각한 취약점이 공격자들에 의해 부지런히 악용되고 있습니다. 이 플러그인은 웹사이트 소유자들이 온라인 상점에서 기프트 카드를 판매하는 데 사용하는 플러그인으로, 50,000개 이상의 웹사이트에서 사용되고 있습니다.

악용되고 있는 취약점은 CVE-2022-45359(CVSS v3: 9.8)으로 추적되며, 해커들이 보호되지 않은 웹사이트에 파일을 업로드할 수 있게 하여 웹 셸을 포함해 웹사이트에 대한 완전한 접근을 허용합니다.

CVE-2022-45359 취약점은 2022년 11월 22일에 공개되었으며, v3.19.0까지의 모든 버전에 영향을 미치고, 이 심각한 결함은 v3.20.0에서 해결되었지만, 플러그인 제작자들은 이미 v3.21.0을 출시했으며, 기프트 카드 프리미엄 플러그인을 사용하는 사람들은 업데이트를 권장받고 있습니다.

그렇지만 많은 사람들이 최신 버전으로 업그레이드하지 않아 취약한 버전을 사용하고 있으며, 해커들은 이미 그들을 공격하기 위한 작동 방법을 구축했습니다.

Wordfence(워드프레스 보안 플러그인)의 보안 전문가들에 따르면, 공격자들이 이미 취약점을 이용해 코드 실행을 얻고, 웹사이트에 백도어를 적용하며, 점령 공격을 시작하고 있다고 합니다.

Wordfence의 사람들은 해커들이 공격에 사용한 악용 코드를 역공학하여 발견했으며, 취약점이 플러그인의 “import_actions_from_settings_panel”에 있다는 것을 알게 되었습니다. 이 함수는 “admin_init” 훅에서 실행되며, 취약한 버전에서 CSRF(교차 사이트 요청 위조) 또는 유효성 검사 기능을 수행하지 않습니다.

읽기: 신뢰할 수 없는 안드로이드 악성코드가 은행 웹사이트 및 암호화폐 거래소의 데이터를 훔치고 있습니다.

이 두 가지 문제로 인해 공격자들은 관련 프레임워크를 사용하여 웹사이트에 악성 PHP 실행 파일을 업로드하기 위해 “POST” 요청을 “ /wp/admin/admin-post.php”로 보낼 수 있습니다.

또한, 공격자가 yith_wocommerece_gift_cards_panel_a_ywgc_safe_submit_field를 importing_gift_cards로 설정하고, file_import_csv 파일 매개변수에 페이로드를 추가하여 요청을 보내는 것은 사소한 일입니다.

악성 요청은 알 수 없는 IP 주소에서 예상치 못한 POST 요청으로 로그에 나타나며, 이는 웹사이트 소유자에게 공격을 받고 있음을 알리는 신호입니다.

Wordfence가 확인한 파일은 다음과 같습니다.

kon.php/1tes.php - 이 파일은 원격 위치에서 마리화나 셸 파일 관리자의 복사본을 메모리에 로드합니다 (shell[.]prinish.[.]com).

b.php - 단순한 업로더 파일입니다.

Admin.php - 비밀번호로 보호된 백도어입니다.

Wordfence의 전문가들은 대부분의 공격이 플러그인 관리자가 심각한 결함을 패치하기 전에 11월에 발생했다고 믿고 있습니다. 이와 더불어, 두 번째 파동은 2022년 12월 14일에 관찰되었습니다.

이 IP 주소 103.138.108.15는 공격의 중요한 출처로, 10,936개 웹사이트에서 19,604회의 악용 시도를 시작했으며, 두 번째 IP 주소인 188.66.0.135는 908개의 워드프레스 웹사이트에 대해 1,220회의 공격을 수행했습니다.

악용 시도는 여전히 진행 중이므로 YTTH 기프트 카드 프리미엄 플러그인 사용자는 웹사이트의 탐색을 피하기 위해 최신 버전인 v3.21.0으로 업데이트할 것을 권장합니다!

읽기: 머디 워터, 해커 그룹이 피싱 메시지를 보내기 위해 손상된 기업 이메일을 사용했습니다.