Злоумышленники используют уязвимость в плагине YTTH WooCommerce Gift Card Premium

Критическая уязвимость в плагине YTTH WooCommerce Gift Cards Premium активно эксплуатируется злоумышленниками. Это плагин, который владельцы сайтов используют для продажи подарочных карт в своих интернет-магазинах, и он используется на более чем 50 тыс. сайтов.

Уязвимость, которая эксплуатируется, зарегистрирована как CVE-2022-45359 (CVSS v3: 9.8), позволяя хакерам загружать файлы на незащищенные сайты, включая веб-оболочки, которые предоставляют полный доступ к сайту.

Уязвимость CVE-2022-45359 была объявлена общественности 22 ноября 2022 года, затрагивая все версии плагина до v3.19.0, и критическая ошибка была исправлена в v3.20.0, хотя разработчики плагина уже выпустили v3.21.0, на которую пользователям плагина Gift card premium рекомендуется обновиться.

С учетом сказанного, многие люди не обновили до последней версии, следовательно, используют уязвимую версию, и хакеры уже разработали рабочий метод для атаки на них.

Согласно экспертам по безопасности из Wordfence (плагин безопасности для WordPress), эксплуатация уже началась, и злоумышленники уже используют уязвимость для получения выполнения кода, установки задних дверей на сайты и начала атак захвата.

Специалисты Wordfence разработали эксплойт, который использовался хакерами в атаках, и они обнаружили, что уязвимость находилась в функции “import_actions_from_settings_panel” плагина, которая выполняется на хуке “admin_init”. Также эта функция не выполняет проверки CSRF (межсайтовой подделки запросов) или другие проверки на уязвимых версиях.

Читать: Вредоносное ПО Godfather для Android крадет данные банковских сайтов и криптобирж

Эти две проблемы заставляют злоумышленников отправлять POST-запросы на “/wp/admin/admin-post.php” с использованием соответствующего фреймворка для загрузки вредоносного PHP-исполняемого файла на сайт.

Более того, злоумышленнику нетрудно отправить запрос, содержащий параметры страницы, установленные на yith_wocommerece_gift_cards_panel_a_ywgc_safe_submit_field, установленные на importing_gift_cards, и полезную нагрузку в параметрах файла file_import_csv, добавленных Wordfence.

Вредоносные запросы появляются в логах как неожиданные POST-запросы с неизвестного IP-адреса, что сигнализирует владельцу сайта о том, что они под атакой.

Вот следующие файлы, которые увидел Wordfence.

kon.php/1tes.php - этот файл загружает копию файла-менеджера оболочки марихуаны в память из удаленного местоположения (shell[.]prinish.[.]com).

b.php - просто простой файл загрузчика.

Admin.php - защищенная паролем задняя дверь.

Эксперты Wordfence считают, что большинство атак произошло в ноябре, прежде чем администратор плагина смог исправить критическую уязвимость. В дополнение к этому, вторая волна атак была зафиксирована 14 декабря 2022 года.

Этот IP-адрес 103.138.108.15 был важным источником атаки, запустив 19,604 попыток эксплуатации на 10,936 сайтах, а второй использованный IP-адрес - 188.66.0.135, который выполнил 1,220 атак против 908 сайтов WordPress.

Попытки эксплуатации все еще продолжаются, поэтому пользователям плагина YTTH Gift card premium рекомендуется обновиться до последней версии, т.е. v3.21.0, чтобы избежать эксплуатации их сайтов!

Читать: Muddy Water, группа хакеров использовала скомпрометированные корпоративные электронные письма для отправки фишинговых сообщений