Cibercriminosos estão se aproveitando de uma falha crítica no plug-in WordPress premium YITH WooCommerce Gift Cards instalado por mais de 50.000 sites, usado para vale-presente, para aplicação de golpes.
Falha crítica no plug-in de vale-presente do WordPress está sendo explorada
A vulnerabilidade crítica, rastreada como CVE-2022-45359 (CVSS v3: 9.8), afeta o plug-in do WordPress YITH WooCommerce Gift Cards Premium, que permite que sites de lojas online vendam cartões-presente. A falha é um problema de upload de arquivo arbitrário que pode permitir que um invasor não autenticado carregue arquivos em sites vulneráveis, incluindo web shells que fornecem acesso total ao site.
O problema foi descoberto em 22 de novembro de 2022 e resolvido com o lançamento da versão 3.20.0. No entanto, devido à presença de muitos sites que ainda usam versões vulneráveis do plug-in, os agentes de ameaças estão explorando a falha em ataques na natureza para fazer upload de backdoors nas lojas virtuais.
A equipe do Wordfence Threat Intelligence tem rastreado explorações visando uma vulnerabilidade de upload de arquivo arbitrário de gravidade crítica no YITH WooCommerce Gift Cards Premium, um plug-in com mais de 50.000 instalações de acordo com o fornecedor.
Wordfence
Ainda de acordo com o Wordfence, isso permite que os invasores coloquem uma porta dos fundos, obtenham a execução remota de código e assumam o controle do site. Os pesquisadores conseguiram fazer engenharia reversa do exploit e descobriram que o problema está na função import_actions_from_settings_panel, que é executada no gancho admin_init.
O gancho é executado para qualquer página no diretório /wp-admin/ e permite acionar funções que são executadas nele como um invasor não autenticado, enviando uma solicitação para /wp-admin/admin-post.php.
Os especialistas notaram que a função import_actions_from_settings_panel também carece de uma verificação de capacidade e uma verificação de CSRF. Um invasor não autenticado pode enviar solicitações POST para “/wp-admin/admin-post.php” usando determinados parâmetros para carregar um executável PHP malicioso no site.
Os especialistas acrescentaram que é possível descobrir os ataques analisando os logs e verificando solicitações POST inesperadas para wp-admin/admin-post.php de endereços IP desconhecidos. A seguir, alguns arquivos enviados por agentes de ameaças em ataques analisados pelo Wordfence: kon.php/1tes.php – este arquivo carrega uma cópia do gerenciador de arquivos “marijuana shell” na memória de um local remoto (shell[.]prinsh[.]com); b.php – este arquivo é um uploader simples; dmin.php – este arquivo é um backdoor protegido por senha.
A maioria dos ataques observados pelo Wordfence teve origem em 103.138.108.15 (19604 ataques contra 10936 sites diferentes) e 188.66.0.135 endereços IP (1220 ataques contra 928 sites).