Vulnerabilidad Critica WooCommerce Payments plugin for WordPress (CVE-2023-28121)

El equipo de Wordfence Threat Intelligence detecto una campaña de explotación que esta curso dirigida a una vulnerabilidad recientemente revelada en WooCommerce Payments, este es un complemento instalado en más de 600,000 sitios. Los ataques a gran escala contra la vulnerabilidad CVE-2023-28121, comenzaron el jueves 14 de julio de 2023 y continuaron durante el fin de semana, alcanzando un máximo de 1,3 millones de ataques contra 157 000 sitios el sábado 16 de julio de 2023.

WooCommerce Payments es un complemento de WordPress muy popular que permite a los sitios web aceptar tarjetas de crédito y débito como forma de pago.

El 23 de marzo de 2023, los desarrolladores lanzaron la versión 5.6.2 para corregir la vulnerabilidad crítica con clasificación 9.8 rastreada como CVE-2023-28121. La falla afecta a las versiones 4.8.0 y posteriores del complemento WooCommerce Payment, y se corrigió en las versiones 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 , 5.6.2 y posteriores.

A diferencia de muchas otras campañas a gran escala que normalmente atacan millones de sitios indiscriminadamente, esta parece estar dirigida contra un conjunto más pequeño de sitios web. Lo que es particularmente interesante es que comenzamos a ver señales de advertencia temprana varios días antes de la ola principal de ataques: un aumento en las solicitudes de enumeración de complementos en busca de un archivo readme.txt en el directorio wp-content/plugins/woocommerce-payments/ de millones de sitios.

Wordfence dice que los actores de amenazas usan el exploit para instalar el complemento de la consola WP o crear cuentas de administrador en el dispositivo objetivo.

Para aquellos sistemas en los que se instaló WP Console, los actores de amenazas usaron el complemento para ejecutar el código PHP que instala un cargador de archivos en el servidor que se puede usar como puerta trasera incluso después de que se corrige la vulnerabilidad.

Wordfence dice que han visto a otros atacantes usando el exploit para crear cuentas de administrador con contraseñas aleatorias.

Para buscar sitios de WordPress vulnerables, los atacantes intentan acceder al archivo '/wp-content/ plugins/woocommerce-payments/readme.txt' y, si existe, explotan la falla.

Los investigadores han compartido siete direcciones IP responsables de estos ataques.

• 194.169.175.93 – 213,212 sites attacked
• 103.102.153.17 – 27,346 sites attacked
• 79.137.202.106 – 14,799 sites attacked
• 193.169.194.63 – 14,619 sites attacked
• 79.137.207.224 – 14,509 sites attacked
• 193.169.195.64 – 13,491 sites attacked

Debido a la facilidad con la que se puede explotar CVE-2023-28121, se recomienda encarecidamente que todos los sitios que utilizan el complemento de pago de WooCommerce se aseguren de que sus instalaciones estén actualizadas.

Si no ha actualizado su instalación recientemente, también se recomienda que los administradores del sitio escaneen sus sitios en busca de archivos PHP inusuales y cuentas de administrador sospechosas y eliminen cualquiera que se encuentre

Referencias

https://www.wordfence.com/blog/2023/07/massive-targeted-exploit-campaign-against-woocommercepayments-underway/?utm_medium=email&_hsmi=266639985&_hsenc=p2ANqtz-8AxrS0jQRkxVtD0SfniOq77V_8TP6U08rEjcEDj_b8n3bXW3pcEeNGxsBvY58nIAEfYwqBRm9q3Xeub5y8sJZSw9rzqT5rAlvdnt2riEjE_XnEc&utm_content=266639985&utm_source=hs_em ail

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/woocommerce-payments/ woocommerce-payments-561-authentication-bypass-and-privilege-escalatio

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios