Un plugin di WordPress sta mettendo a rischio oltre 50.000 siti

Redazione RHC : 31 Dicembre 2022 10:00

In questi giorni, una vulnerabilità critica nel plugin YITH WooCommerce Gift Cards Premium è sfruttata attivamente dai criminali informatici. Tale plugin è presente in più di 50.000 siti WordPress. Il bug consente agli aggressori di stabilire il pieno controllo su una risorsa vulnerabile.

Il plugin YITH WooCommerce Gift Cards Premium consente agli amministratori del sito di vendere buoni regalo nei loro negozi online. A novembre è stato trovato un bug critico monitorato come CVE-2022-45359 (9,8 punti sulla scala di valutazione della vulnerabilità CVSS). Tale bug consente agli aggressori non autenticati di caricare file su siti vulnerabili (comprese le web shell che forniscono il pieno controllo sulla risorsa).

La vulnerabilità interessa tutte le versioni del plugin fino alla 3.19.0. 

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La patch è apparsa come parte della versione 3.20.0. Da allora il produttore ha già rilasciato la versione 3.21.0 e ora consiglia vivamente di aggiornarla.

Gli analisti di Wordfence riferiscono che molti siti, purtroppo, stanno ancora utilizzando una versione vulnerabile del plugin. Questo non è sfuggito all’attenzione degli hacker criminali.

Lo sfruttamento del bug è in pieno svolgimento. Gli aggressori sfruttano la vulnerabilità per scaricare backdoor, eseguire codice in modalità remota e impossessarsi di siti Web altrui.

Gli specialisti hanno ricostruito l’exploit utilizzato dagli hacker e scrivono che la radice del problema risiede nella funzione import_actions_from_settings_panel, che è associata all’hook admin_init. Inoltre, questa funzione non esegue CSRF e controlli di depurazione dell’input, il che alla fine consente alle richieste POST a /wp-admin/admin-post.php di caricare eseguibili PHP dannosi sul sito.

Questo viene visualizzato nei registri come richieste POST impreviste da indirizzi IP sconosciuti.

Wordfence ha rilevato che gli aggressori hanno caricato i seguenti file su siti vulnerabili:

• php/1tes.php: carica in memoria una copia del file manager della shell marijuana da una sorgente remota (shell.prinsh[.]com);
• php: dei semplici file di caricamento;
• php: delle backdoor protette da password.

Gli analisti scrivono che la maggior parte degli attacchi si è verificata a novembre, prima che gli amministratori avessero il tempo di correggere la vulnerabilità, ma il secondo picco di hack si è verificato il 14 dicembre 2022.

Una delle principali fonti di attacco è stato l’indirizzo IP 103.138.108.15, dal quale sono stati effettuati 19.604 tentativi di hacking su 10.936 siti. È seguito dall’indirizzo IP 188.66.0.135, da cui sono stati effettuati 1220 attacchi contro 928 siti.

Poiché gli attacchi sono ancora in corso, gli esperti raccomandano agli amministratori di aggiornare YITH WooCommerce Gift Cards Premium alla versione 3.21 il prima possibile.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli