Cibercriminosos estão explorando ativamente uma falha crítica no plug-in de vale-presente do WordPress

O plug-in YITH WooCommerce Gift Cards Premium permite que sites de lojas online vendam cartões-presente

Jardeson Márcio
3 minutos de leitura

Cibercriminosos estão se aproveitando de uma falha crítica no plug-in WordPress premium YITH WooCommerce Gift Cards instalado por mais de 50.000 sites, usado para vale-presente, para aplicação de golpes.

Falha crítica no plug-in de vale-presente do WordPress está sendo explorada

A vulnerabilidade crítica, rastreada como CVE-2022-45359 (CVSS v3: 9.8), afeta o plug-in do WordPress YITH WooCommerce Gift Cards Premium, que permite que sites de lojas online vendam cartões-presente. A falha é um problema de upload de arquivo arbitrário que pode permitir que um invasor não autenticado carregue arquivos em sites vulneráveis, incluindo web shells que fornecem acesso total ao site.

O problema foi descoberto em 22 de novembro de 2022 e resolvido com o lançamento da versão 3.20.0. No entanto, devido à presença de muitos sites que ainda usam versões vulneráveis do plug-in, os agentes de ameaças estão explorando a falha em ataques na natureza para fazer upload de backdoors nas lojas virtuais.

cibercriminosos-estao-explorando-ativamente-uma-falha-critica-no-plug-in-de-vale-presente-do-wordpress

A equipe do Wordfence Threat Intelligence tem rastreado explorações visando uma vulnerabilidade de upload de arquivo arbitrário de gravidade crítica no YITH WooCommerce Gift Cards Premium, um plug-in com mais de 50.000 instalações de acordo com o fornecedor.

Wordfence

Ainda de acordo com o Wordfence, isso permite que os invasores coloquem uma porta dos fundos, obtenham a execução remota de código e assumam o controle do site. Os pesquisadores conseguiram fazer engenharia reversa do exploit e descobriram que o problema está na função import_actions_from_settings_panel, que é executada no gancho admin_init.

O gancho é executado para qualquer página no diretório /wp-admin/ e permite acionar funções que são executadas nele como um invasor não autenticado, enviando uma solicitação para /wp-admin/admin-post.php.

Os especialistas notaram que a função import_actions_from_settings_panel também carece de uma verificação de capacidade e uma verificação de CSRF. Um invasor não autenticado pode enviar solicitações POST para “/wp-admin/admin-post.php” usando determinados parâmetros para carregar um executável PHP malicioso no site.

Os especialistas acrescentaram que é possível descobrir os ataques analisando os logs e verificando solicitações POST inesperadas para wp-admin/admin-post.php de endereços IP desconhecidos. A seguir, alguns arquivos enviados por agentes de ameaças em ataques analisados pelo Wordfence: kon.php/1tes.php – este arquivo carrega uma cópia do gerenciador de arquivos “marijuana shell” na memória de um local remoto (shell[.]prinsh[.]com); b.php – este arquivo é um uploader simples; dmin.php – este arquivo é um backdoor protegido por senha.

A maioria dos ataques observados pelo Wordfence teve origem em 103.138.108.15 (19604 ataques contra 10936 sites diferentes) e 188.66.0.135 endereços IP (1220 ataques contra 928 sites).

Share This Article
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.