0
0
Os invasores têm explorado uma falha crítica no plug-in WordPress WooCommerce Payments em uma série de ataques nos últimos dias que atingiram o pico de 1,3 milhão de tentativas contra 157.000 sites em 15 de julho, descobriram os pesquisadores.
O pesquisador Michael Mazzolini, da GoldNetwork, descobriu a falha – rastreada como CVE-2023-28121 e classificada como 9,8 de 10 na escala de classificação de vulnerabilidade CVSS – em março, enquanto fazia testes de chapéu branco por meio do programa HackerOne da WooCommerce. O código de exploração logo se seguiu, principalmente da RCE Security, que lançou uma postagem no blog no início deste mês detalhando como tirar proveito da falha.
O problema afeta especificamente o plug-in WooCommerce Payments para WordPress, versões 5.6.1 e inferiores, permitindo que um invasor não autenticado eleve privilégios e envie solicitações em nome do administrador, obtendo acesso de administrador em um site que possui uma versão afetada do plug-in ativado.
Faixas de sites vulneráveis apesar do Auto-Patch
O WooCommerce Payments, que fornece funcionalidade para lojas online aceitarem pagamentos por meio de cartões de crédito, cartões de débito e Apple Pay, está instalado em mais de 600.000 sites. O plug-in de pagamento não é estranho a ataques , mas normalmente os invasores o visam como parte de um ataque mais amplo de clonagem do Magecart que também afeta outros sistemas de pagamento.
O WooCommerce corrigiu a falha logo após sua descoberta por meio de uma atualização automática para sites WordPress executando WooCommerce Payments 4.8.0 a 5.6.1. No entanto, os usuários que executam as versões afetadas no WordPress.com precisam instalar a atualização para corrigir e, se não o fizerem, os sites permanecerão vulneráveis.
Os invasores têm aproveitado ao máximo esses sites vulneráveis nos últimos dias, em uma série de ataques incomuns, pois parecem ser altamente direcionados e não aleatórios, revelou o Wordfence em uma postagem de blog em 17 de julho.
“Ao contrário de muitas outras campanhas de grande escala que normalmente atacam milhões de sites indiscriminadamente, esta parece ser direcionada contra um conjunto menor de sites”, escreveu Ram Gall, da Wordfence, no post.
Ataques cibernéticos WooCommerce levam à execução de código
Os pesquisadores do Wordfence viram os primeiros sinais de alerta da barragem vários dias antes da onda principal por meio de um aumento nas solicitações de enumeração de plug-ins que procuravam um arquivo readme.txt no diretório wp-content/plugins/woocommerce-payments/ de milhões de sites.
Enquanto a maioria dos ataques reais veio de um punhado de endereços IP, que foram compartilhados na postagem, as solicitações readme.txt foram distribuídas por milhares de endereços IP. No entanto, apenas cerca de 5.000 endereços IP enviaram solicitações readme.txt e ataques reais, relatou Lam.
O cabeçalho X-Wcpay-Platform-Checkout-User: 1 é comum a todas as explorações que visam a vulnerabilidade do WooCommerce Payments, o que faz com que sites vulneráveis tratem quaisquer cargas adicionais como provenientes de um administrador, disse Lam.
“Muitas das solicitações que vimos usando isso parecem estar tentando usar seus novos privilégios administrativos para instalar o plug-in WP Console , que pode ser usado por um administrador para executar código em um site”, escreveu ele.
Depois que o plug-in é instalado, os invasores o usam para executar código malicioso e colocar um uploader de arquivo para estabelecer persistência, disse Lam. A carga útil observada pelos pesquisadores do Wordfence tem um hash MD5 de “fb1fd5d5ac7128bf23378ef3e238baba” quando salvo no sistema de arquivos da vítima, algo que o scanner Wordfence fornece detecção desde pelo menos julho de 2021, disse ele.
“Também vimos invasores criando usuários administradores maliciosos com nomes de usuário alfanuméricos aleatórios, como ‘ac9edbbe'”, escreveu Lam.
Explorando o bug CVE-2023-28121
O ataque de exploração descrito por Julien Ahrens, o hacker autodenominado por trás da RCE Security, aciona a vulnerabilidade na função determine_current_user_for_platform_checkout(), onde o plug-in verifica a existência do cabeçalho de solicitação X-WCPAY-PLATFORM-CHECKOUT-USER, explicou ele em seu posto. Se estiver presente, o WooCommerce simplesmente retorna o valor do cabeçalho, que representa o usuário “determinado”.
Isso permite que um invasor induza o WordPress a pensar que um usuário não autenticado é realmente autenticado, definindo o cabeçalho de solicitação X-WCPAY-PLATFORM-CHECKOUT-USER e apontando-o para um userId, explicou Ahrens.
“O que acontece nos bastidores é que o gancho efetivamente informa ao WordPress de qual usuário veio a solicitação”, escreveu ele. “Como temos o userId sob nosso controle, agora temos uma maneira fácil de representar qualquer usuário que esteja ativo/habilitado na instância do WordPress, incluindo administradores.”
Assim, uma vez que um invasor consiga a representação do administrador, toda a instância do WordPress pode ser comprometida, disse ele. Um invasor pode determinar se a exploração foi bem-sucedida com base no código de resposta HTTP; se for 201, ele retornará o objeto de usuário do usuário recém-criado, que pode ser usado para autenticação no back-end administrativo do WordPress, disse Ahrens.
Se ocorrer um caso em que o usuário visado e representado não existe mais ou está desativado, um invasor precisará consultar o método /wp-json/wp/v2/users da API para obter uma lista de usuários ativos ou simplesmente usar dados brutos force através dos userIds, acrescentou.
Evitando o comprometimento do site
Qualquer pessoa que use uma versão afetada do WooCommerce Payments é incentivada a garantir que o plug-in seja atualizado para a versão mais recente, que corrige a falha. A empresa descreveu os detalhes e mitigação da falha em uma postagem de blog publicada em março, quando a falha foi descoberta.
Uma vez que os usuários se certifiquem de que a versão do WooCommerce que estão usando é segura, eles devem verificar se há evidências de qualquer usuário administrador inesperado ou postagens em seu site, o WooCommerce recomenda . Se encontrarem alguma, devem atualizar as senhas de administrador, bem como alternar quaisquer chaves de API usadas no site, incluindo a chave de API do WooCommerce .
FONTE: DARKREADING