I ricercatori di Wordfence hanno rilevato un aumento degli attacchi contro siti WordPress che usano una versione vulnerabile del plugin WooCommerce Payments. Il problema di sicurezza è piuttosto grave, in quanto consente di aggirare l’autenticazione e ottenere privilegi di amministratore. La patch è stata rilasciata quasi quattro mesi fa, ma è evidente che non tutti hanno effettuato l’aggiornamento.
Exploit per WooCommerce Payments
WooCommerce Payments è un plugin per WordPress che consente ai siti di accettare carte di credito e debito come metodo di pagamento per gli store WooCommerce. La vulnerabilità CVE-2023-28121, individuata il 22 marzo, può essere sfruttata per ottenere privilegi di amministratore e quindi prendere il controllo del sito.
La patch è stata rilasciata il 23 marzo con la versione 5.6.2 di WooCommerce Payments. All’epoca non erano stati rilevati exploit attivi, ma da qualche giorno è stato registrato un netto aumento degli attacchi. Secondo i dati di Wordfence ci sono stati oltre 1,3 milioni di attacchi contro almeno 157.000 siti tra il 14 e 16 luglio.
Per sfruttare la vulnerabilità è sufficiente aggiungere X-WCPAY-PLATFORM-CHECKOUT-USER nell’intestazione della richiesta GET e indicare un user ID. Ciò permette di creare un utente amministratore, senza autenticazione. I nuovi privilegi consentono di installare il plugin WP Console, con il quale è possibile installare un malware che funziona come backdoor, anche dopo aver aggiornato WooCommerce Payments.
I gestori dei siti devono installare l’ultima versione del plugin e controllare se ci sono plugin sospetti e utenti con ruolo di amministratore (che devono essere subito eliminati).
Ti potrebbe interessare
18 lug 2023