Atacantes Exploraram uma Falha no Plugin Premium de Cartão Presente YTTH WooCommerce

Uma falha crítica no plugin Premium de Cartões Presente YTTH WooCommerce está sendo diligentemente explorada por atacantes. Bem, é um plugin que os proprietários do site usam para vender cartões presente em suas lojas online, e o plugin é utilizado em mais de 50 mil sites.

A vulnerabilidade que está sendo explorada é rastreada como CVE-2022-45359 (CVSS v3: 9.8), permitindo que os hackers façam upload de arquivos em sites desprotegidos, que incluem shells web que dão acesso total ao site.

A vulnerabilidade CVE-2022-45359 foi informada ao público em 22 de novembro de 2022, afetando todas as versões do plugin até a v3.19.0, e a falha crítica foi corrigida na v3.20.0, embora as pessoas por trás do plugin já tenham lançado a v3.21.0, que as pessoas que usam o plugin premium de cartão presente são recomendadas a atualizar.

Dito isso, muitas pessoas não atualizaram para a versão mais recente, portanto, estão usando a versão vulnerável, e os hackers já construíram um método funcional para atacá-las.

De acordo com os especialistas em segurança da Wordfence (um plugin de segurança para WordPress), a exploração já está em andamento, com os atacantes já utilizando a vulnerabilidade para obter execução de código, aplicar backdoors nos sites e iniciar os ataques de tomada de controle.

As pessoas da Wordfence reservaram um exploit que foi usado pelos hackers nos ataques, e descobriram que a vulnerabilidade estava na função “import_actions_from_settings_panel” do plugin, uma função que é executada no hook “admin_init”. Além disso, essa função não realiza verificações CSRF (Cross-Site Request Forgery) ou verificações de capacidade nas versões vulneráveis.

Leia: Godfather Android Malware Roubando Dados de Sites Bancários e Exchanges de Cripto

Bem, esses dois problemas fazem com que os atacantes enviem requisições POST para “/wp/admin/admin-post.php” usando o framework relevante para fazer upload de um executável PHP malicioso no site.

Além disso, é trivial para um atacante enviar uma requisição contendo parâmetros de página definidos para yith_wocommerece_gift_cards_panel_a_ywgc_safe_submit_field definidos como importing_gift_cards e um payload nos parâmetros de arquivo file_import_csv adicionados pela Wordfence.

As requisições maliciosas aparecem nos logs como requisições POST inesperadas de um endereço IP desconhecido, o que sinaliza ao proprietário do site que eles estão sob ataque.

Estes são os seguintes arquivos que a Wordfence viu.

kon.php/1tes.php - este arquivo carrega uma cópia do gerenciador de arquivos shell de maconha na memória de um local remoto (shell[.]prinish.[.]com).

b.php - apenas um arquivo uploader simples.

Admin.php - backdoor protegida por senha.

Os especialistas da Wordfence acreditam que a maioria dos ataques ocorreu em novembro, antes que o administrador do plugin pudesse corrigir a falha crítica. Além disso, a segunda onda que ocorreu foi observada em 14 de dezembro de 2022.

Este endereço IP 103.138.108.15 foi a fonte importante do ataque, lançando 19.604 tentativas de exploração em 10.936 sites, e o segundo endereço IP utilizado é 188.66.0.135, que realizou 1.220 contra 908 sites WordPress.

As tentativas de exploração ainda estão em andamento, então os usuários do plugin premium de cartão presente YTTH são recomendados a atualizar para a versão mais recente, ou seja, v3.21.0, para evitar a exploração de seus sites!

Leia: Muddy Water, um Grupo de Hackers Usou E-mails Corporativos Comprometidos para Enviar Mensagens de Phishing