WordPress-плагин для работы с подарочными картами стал новым вектором атаки

Хакеры активно используют критическую уязвимость в WordPress плагине YITH WooCommerce Gift Cards Premium, который используется на более чем 50 000 веб-сайтов. YITH WooCommerce Gift Cards Premium – это плагин, который позволяет владельцам сайтов продавать подарочные карты в своих интернет-магазинах, поясняет Securitylab.

В ноябре специалисты обнаружили в плагине уязвимость, которой присвоили идентификатор CVE-2022-45359 и оценку 9.8 из 10 по шкале CVSS. Она позволяет хакерам загружать файлы на сайты (в том числе и веб-оболочки, обеспечивающие полный контроль над сайтом). Брешь затрагивает все версии плагина до 3.19.0. Стоит отметить, что исправление вышло еще в версии 3.20.0, но производитель уже выпустил версию 3.21.0 и рекомендует обновляться до нее.

Как говорят аналитики из Wordfence, на многих сайтах все еще используется старая, уязвимая версия плагина, чем пользуются злоумышленники: их эксплойт позволяет загружать бэкдоры, удаленно выполнять код и захватывать сайты жертв.

Специалисты провели реверс-инжиниринг эксплойта и выяснили, что проблема кроется в функции import_actions_from_settings_panel, которая связана с хуком admin_init. В уязвимых версиях плагина эта функция не выполняет проверки CSRF и capability, что позволяет хакерам отправлять

Эти две проблемы дают возможность неаутентифицированным злоумышленникам отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных PHP-файлов на сайт.

Вредоносные запросы отображаются в логах как unexpected POST-запросы с неизвестных IP-адресов.

Wordfence обнаружила следующие вредоносные файлы:

• kon.php/1tes.php – этот файл загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell[.]prinsh[.]com);
• b.php – простой файл загрузчика;
• admin.php – защищенный паролем бэкдор.

Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов наблюдался 14 декабря 2022 года.

Атаки ведутся с сотен IP-адресов, наиболее активны два из них – вьетнамский 103[.]138.108.15 (19 604 атаки против 10 936 разных сайтов) и эстонский 188[.]66.0.135 (1220 атаки, 928 сайтов).