Bug di WooCommerce sfruttato in attacchi WordPress mirati

I ricercatori di sicurezza hanno registrato oltre un milione di tentativi di compromettere un popolare plugin di WordPress negli ultimi giorni.

Wordfence ha affermato che gli attacchi sono iniziati il ​​14 luglio e sono continuati durante il fine settimana, raggiungendo il picco di 1,3 milioni di attacchi contro 157.000 siti il ​​16 luglio.

Il fornitore della sicurezza ha affermato che gli attacchi hanno sfruttato una vulnerabilità critica del plug-in WooCommerce Payments (CVE-2023-28121), che ha un punteggio CVSS di 9,8.

Maggiori informazioni sugli attacchi ai plug-in di WordPress: il difetto del plug-in dei componenti aggiuntivi essenziali espone un milione di siti Web WordPress.

WooCommerce Payments consente agli utenti di accettare pagamenti con carta nei negozi online basati su WooCommerce e si dice che abbia circa 600.000 installazioni.

Se sfruttata, la vulnerabilità in questione consentirebbe a un utente malintenzionato remoto di impersonare un amministratore e assumere il controllo di un sito WordPress interessato. Wordfence ha affermato di aver visto attori delle minacce tentare di utilizzare i propri privilegi di amministratore per installare in remoto il plug-in WP Console sui siti delle vittime.

“Una volta installato il plug-in WP Console, gli aggressori lo utilizzano per eseguire codice dannoso e inserire un caricatore di file per stabilire la persistenza”, ha aggiunto.

Sebbene il numero di tentativi di attacco registrati da Wordfence abbia superato il milione, il venditore ha affermato che questa campagna è relativamente mirata.

“A differenza di molte altre campagne su larga scala che in genere attaccano milioni di siti indiscriminatamente, questa sembra essere mirata a un insieme più piccolo di siti web”, ha spiegato.

“Ciò che è particolarmente interessante è che abbiamo iniziato a vedere i primi segnali di allarme diversi giorni prima dell’ondata principale di attacchi: un aumento delle richieste di enumerazione dei plug-in alla ricerca di un file readme.txt nella directory ‘wp-content/plugins/woocommerce-payments/’ di milioni di siti.”

La vulnerabilità del plugin WooCommerce Payments è stato patchato dai suoi sviluppatori il 23 marzo con la versione 5.6.2. Interessa le versioni 4.8.0 e successive.