Estás leyendo la publicación: Los atacantes aprovechan una falla en el complemento premium de tarjeta de regalo WooCommerce de YTTH
Los atacantes están explotando diligentemente una falla crítica en el complemento YTTH WooCommerce Gift Cards Premium. Bueno, es un complemento que los propietarios del sitio web utilizan para vender tarjetas de regalo en sus tiendas en línea, y el complemento se utiliza en más de 50.000 sitios web.
La vulnerabilidad que se está explotando se rastrea como CVE-2022-45359 (CVSS v3: 9.8), lo que permite a los piratas informáticos cargar archivos en sitios web desprotegidos, que incluyen shells web que brindan acceso completo al sitio web.
La vulnerabilidad CVE-2022-45359 se informó al público el 22 de noviembre de 2022, afectando a todas las versiones del complemento hasta la v3.19.0, y la falla crítica se solucionó en la v3.20.0, aunque las personas detrás del complemento ya lanzaron la v3. 21.0, que se recomienda actualizar a las personas que utilizan el complemento premium de tarjeta de regalo.
Dicho esto, muchas personas no han actualizado a la última versión, por lo que utilizan la versión vulnerable, y los piratas informáticos ya han creado un método de trabajo para atacarlos.
Según los expertos en seguridad de Wordfence (un complemento de seguridad de WordPress), el exploit ya está en marcha, y los atacantes ya utilizan la vulnerabilidad para obtener la ejecución del código, aplicar puertas traseras en los sitios web e iniciar los ataques de adquisición.
La gente de la reserva de Wordfence diseñó un exploit que fue utilizado por los piratas informáticos en los ataques y descubrieron que la vulnerabilidad estaba en el “import_actions_from_settings_panel” del complemento, una función que se ejecuta en el gancho “admin_init”. Además, esta función no realiza CSRF (falsificación de solicitudes entre sitios) ni comprobaciones capaces de versiones vulnerables.
Leer: El padrino, malware para Android que roba datos de sitios web bancarios y de intercambios de criptomonedas
Bueno, estos dos problemas hacen que los atacantes envíen solicitudes POST a “/wp/admin/admin-post.php” utilizando el marco correspondiente para cargar un ejecutable PHP malicioso en el sitio web.
Además, es trivial para un atacante enviar una solicitud que contenga parámetros de página configurados y una carga útil en los parámetros del archivo agregados a Wordfence.
CVE-2022-45359 Código de explotaciónLas solicitudes maliciosas surgen en los registros como solicitudes POST inesperadas desde una dirección IP desconocida, lo que indica al propietario del sitio web que está bajo ataque.
Estos son los siguientes archivos que vio Wordfence.
kon.php/1tes.php: este archivo carga una copia del administrador de archivos shell de marihuana en la memoria desde una ubicación remota (shell[.]principe.[.]com). b.php: solo un archivo de carga simple. Admin.php: puerta trasera protegida con contraseña.
Los expertos de Wordfence creen que la mayoría de los ataques ocurrieron en noviembre antes de que el administrador del complemento pudiera solucionar la falla crítica. Sumado a esto, la segunda ola ocurrida se observó el 14 de diciembre de 2022.
Esta dirección IP 103.138.108.15 fue la fuente importante del ataque, lanzando 19.604 intentos de explotación en 10.936 sitios web, y la segunda dirección IP utilizada es 188.66.0.135, que realizó 1.220 contra los 908 sitios web de WordPress.
Los intentos de explotación aún están en marcha, por lo que se recomienda a los usuarios del complemento premium de la tarjeta de regalo YTTH que actualicen a la última versión, es decir, v3.21.0, para evitar la exploración de sus sitios web.
Leer: Muddy Water, un grupo de piratas informáticos utilizó correos electrónicos corporativos comprometidos para enviar mensajes de phishing
