Simon Scannell, investigador da RIPS Technologies GmbH, descobriu uma vulnerabilidade que permite eliminar de forma arbritrária ficheiros do popular plugin WooCommerce e que permitia que um utilizador mal-intencionado obtivesse controle total sobre os websites vulneráveis.
O WooCommerce é um dos plug-ins de eCommerce mais populares para o WordPress. Este plugin é responsável por quase 35% das lojas virtuais na Internet, com mais de 4 milhões de instalações.
O ataque demonstrado no vídeo a seguir aproveita a maneira como o WordPress lida com os privilégios de utilizador e explora uma vulnerabilidade relativa à exclusão de ficheiros, permitindo que uma conta com o role “Shop Manager” possa eventualmente redefinir a palavra-passe das contas de administrador e assumir o controle total do website.
Quando instalada, a extensão WooCommerce cria contas “Shop Manager” com o recurso “edit_users”, permitindo que eles editem as contas de clientes da loja de forma a gerir as encomendas, perfis e produtos.
No WordPress, por padrão, uma conta com o recurso “edit_users” permite editar uma conta de administrador e redefinir a password associada. No entanto, existe alguma limitação quando esta operação é realizada através de uma conta “Shop Manager”.
O investigador descobriu que se o admin do WordPress, por algum motivo, desativar o plugin WooCommerce, isso permite que as contas “Shop Manager” editem e redefinam a password das contas de administrador.
De acordo com Simon, um Shop Manager malicioso pode desativar o plug-in WooCommerce, através da exploração de uma vulnerabilidade de exclusão de ficheiros que reside no recurso de log do WooCommerce.
“This vulnerability allows shop managers to delete any file on the server that is writable. By deleting the main file of WooCommerce, woocommerce.php, WordPress will be unable to load the plugin and then disables it,” Simon explains in a blog post.
Depois do ficheiro ser excluído, o plug-in WooCommerce é desativado, permitindo que os Shop Manager atualizem a password da conta de administrador e, em seguida, tomem o controlo do website por completo.
Atualize o Plugin WooCommerce
O investigador reportou os problemas de segurança para a equipa de segurança da Automattic, que gerencia o plug-in WooCommerce, via Hackerone em 30 de agosto de 2018. A equipa reconheceu as falhas e corrigiu-as na versão 3.4.6 do Woocommerce no mês passado.
Se você ainda não instalou a nova versão, é recomendado que o faça o quanto antes. APTs como MageCart poderão usar este tipo de vulnerabilidades por forma a injetar código malicioso no seu website — cryptominers ou código malicioso de skimming e tirar partido disso para atividades maliciosas in-the-willd.