Zagrożenia korzystające z niedawno odkrytej poważnej luki w zabezpieczeniach w wtyczce WooCommerce Payments dla WordPressa są aktywne i rozpoczęły masową ukierunkowaną kampanię – informuje portal The Hacker News.
Wskazana luka, oznaczona jako CVE-2023-28121 (CVSS: 9,8), dotyczy omijania mechanizmu uwierzytelniania, co pozwala nieautoryzowanym atakującym podszywać się pod dowolnych użytkowników i wykonywać różne działania jako ci użytkownicy, w tym choćby jako administrator. To z kolei może doprowadzić do przejęcia pełnej kontroli nad witryną.
Od wersji 4.8.0 do 5.6.1, istnieje podatność na ataki w wtyczce WooCommerce Payments. Ta popularna wtyczka jest zainstalowana na ponad 600 000 witryn. Na szczęście, w marcu 2023 roku, zespół WooCommerce wydał łatki, które usuwają ten błąd. Co więcej, WordPress również automatycznie wydawał aktualizacje dla witryn korzystających z wersji oprogramowania, które były zagrożone tym problemem.
Wszystkie ataki wykazują wspólny mianownik, używają nagłówka żądania HTTP o nazwie „X-Wcpay-Platform-Checkout-User: 1”. To właśnie ten nagłówek powoduje, iż podatne witryny traktują wszelkie dodatkowe żądania jako pochodzące od użytkownika z uprawnieniami administracyjnymi. Dzięki temu atakujący może wykorzystać luki w zabezpieczeniach, udając, iż działaja jako użytkownik z najwyższymi uprawnieniami i w ten sposób uzyskać nieautoryzowany dostęp do witryny.
Firma Wordfence potwierdziła, iż wspomniana luka w zabezpieczeniach jest aktywnie wykorzystywana do instalacji wtyczki WP Console. dzięki tej wtyczki, atakujący mogą zdobyć dostęp do funkcji wykonywania złośliwego kodu i zainstalować narzędzie do przesyłania plików. Dzięki tym działaniom mogą konfigurować wytrwałe i ukryte backdoory na zaatakowanej witrynie, umożliwiając sobie długotrwały dostęp do niej.
