Atores de ameaças começaram a hackear sites WordPress explorando uma vulnerabilidade crítica no plug-in WooCommerce Payments.
Uma solução de pagamento totalmente integrada desenvolvida pela Automattic, o plug-in tem mais de 600.000 instalações ativas, mostram os dados de rastreamento do WordPress.
Rastreada como CVE-2023-28121 (pontuação CVSS de 9,8) e corrigida no plug-in versão 5.6.2 em 23 de março, a vulnerabilidade explorada permite que um invasor não autenticado comprometa a conta de um administrador e assuma o controle total de um site vulnerável.
Embora não houvesse sinais de exploração do bug quando o patch foi lançado, ataques maliciosos O direcionamento de versões não corrigidas do plug-in WooCommerce Payments está em andamento na semana passada, relata a empresa de segurança WordPress Defiant.
“Ataques em larga escala contra a vulnerabilidade, designada CVE-2023-28121, começaram na quinta-feira, 14 de julho de 2023 e continuaram no fim de semana, chegando a 1,3 milhão de ataques contra 157.000 sites no sábado, 16 de julho de 2023”, Defiant diz.
A campanha, que se concentra em um pequeno conjunto de sites, começou com um aumento nas solicitações de enumeração de plug-ins que buscavam um arquivo específico no diretório do plug-in.
Embora as solicitações tenham sido distribuídas por milhares de endereços IP, a maioria dos ataques observados veio de um conjunto de sete endereços IP, observa a Defiant.
Todas as explorações observadas direcionadas ao CVE-2023-28121 continham um cabeçalho que “faz com que sites vulneráveis tratem quaisquer cargas adicionais como provenientes de um usuário administrativo”. Muitas dessas solicitações, diz Defiant, tentaram aproveitar os privilégios de administrador para instalar o plug-in WP Console, para obter a execução do código.
“Depois que o plug-in do WP Console é instalado, os invasores o usam para executar código malicioso e colocar um uploader de arquivo para estabelecer persistência”, diz Defiant.
Todos os sites que executam as versões 4.8.0 a 5.6.1 do WooCommerce Payments são vulneráveis ao CVE-2023-28121. De acordo com os dados do WordPress, mais de 60% dos sites executam uma versão de plug-in acima de 5.9.x, portanto, não está claro quantos sites são vulneráveis.
Os administradores do site são aconselhados a atualizar suas instalações do WooCommerce Payments para uma versão corrigida o mais rápido possível, especialmente porque as explorações direcionadas ao CVE-2023-28121 e à vulnerabilidade são públicas há várias semanas.
“Esses ataques demonstram significativamente mais sofisticação do que ataques semelhantes que vimos no passado, incluindo reconhecimento antes da principal onda de ataques e vários métodos de manutenção da persistência usando a funcionalidade disponível para usuários de nível de administrador”, observa Defiant.