Gli hacker sfruttano un bug nel plug-in delle carte regalo WordPress con installazioni da 50.000

Gli hacker stanno attivamente prendendo di mira un difetto critico in YITH WooCommerce Gift Cards Premium, un plugin WordPress utilizzato su oltre 50.000 siti web.

YITH WooCommerce Gift Cards Premium è un plugin che consente agli operatori di siti web di vendere carte regalo nei loro negozi online.

Sfruttare la vulnerabilità, tracciato come CVE-2022-45359 (CVSS v3: 9.8), consente agli aggressori non autenticati di caricare file su siti vulnerabili, comprese le web shell che forniscono pieno accesso al sito.

CVE-2022-45359 è stato reso pubblico il 22 novembre 2022, influenzando tutte le versioni del plugin fino alla 3.19.0. L’aggiornamento di sicurezza che ha risolto il problema era la versione 3.20.0, mentre il fornitore ha già rilasciato la 3.21.0, che è l’obiettivo di aggiornamento consigliato.

Sfortunatamente, molti siti utilizzano ancora la versione precedente e vulnerabile e gli hacker hanno già ideato un exploit funzionante per attaccarli.

Secondo gli esperti di sicurezza di WordPress di Wordfence, lo sforzo di sfruttamento è ben avviato, con gli hacker che sfruttano la vulnerabilità per caricare backdoor sui siti, ottenere l’esecuzione di codice in modalità remota ed eseguire attacchi di acquisizione.

Sfruttato attivamente negli attacchi

Wordfence ha decodificato un exploit utilizzato dagli hacker negli attacchi, scoprendo che il problema risiede nella funzione “import_actions_from_settings_panel” del plugin che viene eseguita sull’hook “admin_init”.

Inoltre, questa funzione non esegue CSRF o controlli di capacità nelle versioni vulnerabili.

Questi due problemi consentono agli aggressori non autenticati di inviare richieste POST a “/wp-admin/admin-post.php” utilizzando i parametri appropriati per caricare un eseguibile PHP dannoso sul sito.

Le richieste dannose vengono visualizzate nei log come richieste POST impreviste da indirizzi IP sconosciuti, il che dovrebbe essere un segnale per gli amministratori del sito che sono sotto attacco.

I file caricati individuati da Wordfence sono i seguenti:

• kon.php/1tes.php – questo file carica in memoria una copia del file manager “marijuana shell” da una posizione remota (shell[.]Principe[.]com)
• b.php – semplice file di caricamento
• admin.php – backdoor protetta da password

Gli analisti riferiscono che la maggior parte degli attacchi si è verificata a novembre prima che gli amministratori potessero correggere la falla, ma un secondo picco è stato osservato il 14 dicembre 2022.

L’indirizzo IP 103.138.108.15 è stato una fonte significativa di attacchi, lanciando 19.604 tentativi di sfruttamento contro 10.936 siti web. Il secondo indirizzo IP più grande è 188.66.0.135, che ha condotto 1.220 attacchi contro 928 siti WordPress.

I tentativi di sfruttamento sono ancora in corso, quindi agli utenti del plugin YITH WooCommerce Gift Cards Premium si consiglia di eseguire l’aggiornamento alla versione 3.21 il prima possibile.