В то время, когда люди отдыхают, хакеры плодотворно работают.
В Wordfence заявили, что в атаках использовалась критическая уязвимость плагина WooCommerce Payments CVE-2023-28121 (CVSS: 9.8) . Ошибка позволяет злоумышленнику, не прошедшему проверку подлинности, отправлять запросы от имени пользователя с повышенными правами, например, с правами администратора. Уязвимость плагина WooCommerce Payments была исправлена 23 марта в версии 5.6.2.
Плагин WooCommerce Payments позволяет пользователям принимать онлайн-платежи в интернет-магазинах на базе WooCommerce и имеет около 600 000 установок.
В случае эксплуатации рассматриваемая уязвимость позволит удаленному злоумышленнику получить права администратора и захватить контроль над уязвимым сайтом WordPress. В Wordfence заявили, что злоумышленники пытались использовать права администратора для удаленной установки плагина WP Console на сайты-жертвы. Хакеры используют плагин WP Console для выполнения вредоносного кода и размещения загрузчика файлов, чтобы обеспечить постоянство.
Хотя количество зафиксированных попыток атак превысило 1 миллион, в Wordfence заявили, что кампания является целенаправленной. По словам экспертов, в отличие от многих других крупномасштабных кампаний, которые обычно атакуют миллионы сайтов без разбора, эта нацелена на меньший набор веб-сайтов.
Примечательно то, что за несколько дней до основной волны атак наблюдалось увеличение количества запросов на перечисление плагинов. Хакеры искали файл «readme.txt» в каталоге «wp-content/plugins/woocommerce-payments/» на затронутых сайтах.
Ранее специалисты ИБ-компании Patchstack обнаружили уязвимость в плагине WooCommerce Stripe Gateway для WordPress, которая позволяет неавторизованному злоумышленнику просматривать детали заказа, размещенного через плагин. Раскрытие данных может привести к дальнейшим атакам, таким как попытки захвата учетных записей и кражи учетных данных через целевые фишинговые электронные письма.
Кроме того, в июле была обнаружена уязвимость в плагине для WordPress под названием «Ultimate Member», которая позволяет злоумышленнику создавать новые учетные записи пользователей с административными привилегиями, давая хакеру возможность полностью контролировать зараженные сайты.
Источник: securitylab
