Gli attori delle minacce hanno iniziato ad hackerare i siti Web WordPress sfruttando una vulnerabilità critica nel plug-in WooCommerce Payments.
Una soluzione di pagamento completamente integrata sviluppata da Automattic, il plug-in ha più di 600.000 installazioni attive, come mostrano i dati di tracciamento di WordPress.
Tracciato come CVE-2023-28121 (punteggio CVSS di 9,8) e patchato nella versione del plugin 5.6.2 il 23 marzola vulnerabilità sfruttata consente a un utente malintenzionato non autenticato di compromettere l’account di un amministratore e assumere il pieno controllo di un sito Web vulnerabile.
Anche se non c’erano segni di sfruttamento in-the-wild del bug quando la patch è stata rilasciata, attacchi dannosi Il targeting per versioni prive di patch del plug-in WooCommerce Payments è in corso da una settimana, secondo Defiant, società di sicurezza di WordPress.
“Gli attacchi su larga scala contro la vulnerabilità, assegnati CVE-2023-28121, sono iniziati giovedì 14 luglio 2023 e sono proseguiti durante il fine settimana, raggiungendo un picco di 1,3 milioni di attacchi contro 157.000 siti sabato 16 luglio 2023”, afferma Defiant.
La campagna, che si concentra su un piccolo insieme di siti Web, è iniziata con un aumento delle richieste di enumerazione dei plug-in che cercavano un file specifico nella directory del plug-in.
Sebbene le richieste siano state distribuite su migliaia di indirizzi IP, la maggior parte degli attacchi osservati proveniva da un insieme di sette indirizzi IP, osserva Defiant.
Tutti gli exploit osservati mirati a CVE-2023-28121 contenevano un’intestazione che “fa sì che i siti vulnerabili considerino eventuali payload aggiuntivi come provenienti da un utente amministrativo”. Molte di queste richieste, afferma Defiant, hanno tentato di sfruttare i privilegi di amministratore per installare il plug-in WP Console, per ottenere l’esecuzione del codice.
“Una volta installato il plug-in WP Console, gli aggressori lo utilizzano per eseguire codice dannoso e inserire un caricatore di file per stabilire la persistenza”, afferma Defiant.
Tutti i siti che eseguono WooCommerce Payments dalla versione 4.8.0 alla 5.6.1 sono vulnerabili a CVE-2023-28121. Secondo i dati di WordPress, oltre il 60% dei siti esegue una versione del plug-in superiore alla 5.9.x, quindi non è chiaro quanti siti Web siano vulnerabili.
Si consiglia agli amministratori del sito di aggiornare le loro installazioni di WooCommerce Payments a una versione con patch il prima possibile, soprattutto perché gli exploit prendono di mira CVE-2023-28121 e dettagli tecnici sulla vulnerabilità sono stati pubblici per diverse settimane.
“Questi attacchi dimostrano una sofisticazione significativamente maggiore rispetto ad attacchi simili che abbiamo visto in passato, inclusa la ricognizione prima dell’ondata principale di attacchi e diversi metodi per mantenere la persistenza utilizzando funzionalità disponibili per gli utenti a livello di amministratore”, osserva Defiant.
Imparentato: Il popolare plug-in di sicurezza di WordPress ha catturato la registrazione di password in chiaro
Imparentato: 200.000 siti WordPress esposti ad attacchi che sfruttano il difetto del plug-in “Ultimate Member”
Imparentato: Le vulnerabilità critiche dei plug-in di WordPress hanno un impatto su migliaia di siti