I criminali stanno sfruttando una vulnerabilità critica in un plug-in per buoni regalo di WordPress installato su oltre 50.000 siti Web, avvertono i ricercatori di sicurezza.
Il difetto, tracciato come CVE-2022-45359 , è una vulnerabilità di caricamento arbitrario di file nel plug-in WordPress YITH WooCommerce Gift Cards Premium con una valutazione CVSS v3 di 9.8 (critica).
Gli autori possono sfruttare la falla per caricare qualsiasi tipo di file su siti Web vulnerabili, comprese web shell e backdoor che offrono loro ulteriore accesso e privilegi di esecuzione di codice in modalità remota.
La vulnerabilità interessa le versioni 3.19.0 e precedenti del plug-in di WordPress a causa della mancanza di controlli di funzionalità e convalida del tipo di file in una delle funzioni del plug-in.
“La vulnerabilità, segnalata dal ricercatore di sicurezza Dave Jong e divulgata pubblicamente il 22 novembre 2022, influisce sulle versioni del plug-in fino alla 3.19.0 inclusa e consente agli aggressori non autenticati di caricare file eseguibili su siti WordPress che eseguono una versione vulnerabile del plug-in”, WordFence detto in un avviso di sicurezza . “Ciò consente agli aggressori di inserire una backdoor, ottenere l’esecuzione di codice in modalità remota e assumere il controllo del sito”.
Secondo i ricercatori di sicurezza, le richieste POSTwp-admin/admin-post.php inaspettate da indirizzi IP sconosciuti potrebbero essere solidi indicatori di compromissione. Gli esperti hanno anche isolato una manciata di payload che potrebbero essere utilizzati per determinare se un sito Web è stato compromesso, tra cui:
- kon.php/1tes.php – carica una copia del file manager “marijuana shell” in remoto da
shell[.]prinsh[.]com, ha un hash SHA256 normalizzato di1a3babb9ac0a199289262b6acf680fb3185d432ed1e6b71f339074047078b28c - b.php – semplice uploader di file, ha un hash SHA256 normalizzato di
3c2c9d07da5f40a22de1c32bc8088e941cea7215cbcd6e1e901c6a3f7a6f9f19 - admin.php – una backdoor protetta da password, ha un hash SHA256 normalizzato di
8cc74f5fa8847ba70c8691eb5fdf8b6879593459cfd2d4773251388618cac90d
I ricercatori hanno anche notato che mentre gli attacchi sono stati avviati da oltre 100 indirizzi IP, la maggior parte di essi ha avuto origine solo da due:
- 103.138.108.15 – lanciato 19.604 attacchi contro 10.936 siti web
- 188.66.0.135 – ha lanciato 1.220 attacchi contro 928 siti web
Ultimo ma non meno importante, si consiglia agli utenti che eseguono versioni vulnerabili (fino alla 3.19.0 inclusa) del plugin YITH WooCommerce Gift Card Premium di eseguire l’aggiornamento all’ultima versione disponibile.
