Websites ecommerce do WordPress estão sob ataque depois de identificada uma nova vulnerabilidade num plugin que permite tomar total controlo do CMS.

Os ataques estão em andamento, de acordo com a Defiant, a empresa por trás do Wordfence.

Os hackers estão a direcionar milhões de ataques a websites WordPress que usam o “Abandoned Cart Lite for WooCommerce“, um plugin instalado em mais de 20.000 sites WordPress, de acordo com o repositório oficial de Plugins do WordPress.

Esses ataques são um daqueles casos raros em que uma vulnerabilidade de scripting comum e normalmente inofensiva e underrated (XSS) pode levar a sérios hacks. As falhas do XSS raramente são armadas de maneira tão perigosa.

É possível explorar esta falha in-the-wild devido a combinação da vulnerabilidade XSS e a algumas funcionalidades do pŕoprio plugin.

De acordo com um relatório do investigador Mikey Veenstra da Defiant, os hackers estão a automatizar as operações contra as lojas baseadas no WordPress WooCommerce para gerar carrinhos de compras que contêm produtos com nomes malformados.

Eles adicionam o payload XSS em um dos campos do carrinho de compras e, em seguida, saem do site, uma ação que garante que o payload seja armazenado automaticamente pelo plugin na base de dados. Num bom cenário, esta funcionalidade permite deixar os artigos guardados para uma próxima visita.

Quando um administrador acede o back-end da loja para visualizar uma lista de carrinhos abandonados, o payloaed é executado assim que uma página de back-end específica é carregada.

banner-1544x500

 

O investigador afirma que nas últimas semanas tem identificado vários ataques utilizando esta técnica.

O payload maliciosos carrega um ficheiro Javascript de um bit.ly link. Esse código tenta implantar dois backdoors diferentes que tiram partido do plugin vulnerável.

O primeiro backdoor é responsável por criar uma nova conta de administração. Este novo utilizador é chamado de “woouser”, está registrado com o endereço de e-mail “[email protected]” e usa uma password de “K1YPRka7b0av1B”.

O segundo backdoor é muito inteligente e é uma técnica raramente vista. Veenstra disse que o código malicioso lista todos os plugins do website e procura o primeiro que foi desativado pelo administrador do website.

Os hackers não o reativam, mas substituem o conteúdo do ficheiro main por um script mal-intencionado que funciona como backdoor para acesso futuro.

O plugin permanecerá desativado para o administrador não detetar qualquer tipo de comportamento anómalo.

Bit.ly link stats

O bit.ly link usado para esta campanha foi acedido mais de 5.200 vezes, sugerindo que o número de websites infectados anda na casa dos milhares.

O plugin recebeu uma correção na versão 5.2.0, lançada em 18 de fevereiro.

Os proprietários de websites do WordPress que usam o plug-in são aconselhados a atualizar os websites e validar a lista de contas de administrador na tentativa de identificar utilizadores suspeitos. O user “woouser” pode não estar presente, mas os hackers também poderiam tê-lo alterado para outra nome diferente.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *