Kibercriminálok kihasználják a WooCommerce Payments Plugin hibáját weboldalak eltérítésére
A fenyegető szereplők aktívan kihasználják a WooCommerce Payments WordPress pluginban nemrégiben nyilvánosságra hozott kritikus biztonsági hibát, mint egy hatalmas, célzott kampány részét.
A hibát, amelyet CVE-2023-28121-ként (CVSS pontszám: 9.8) követnek, hitelesítés megkerülése jellemzi, amely lehetővé teszi a nem hitelesített támadók számára, hogy tetszőleges felhasználókat személyesítsenek meg és néhány műveletet hajtsanak végre az álcázott felhasználóként, beleértve egy adminisztrátort, ami potenciálisan az oldal átvételéhez vezethet.
„A CVE-2023-28121-re vonatkozó nagyszabású támadások 2023. július 14-én, csütörtökön kezdődtek és a hétvégén folytatódtak, szombaton, július 16-án tetőzve 1,3 millió támadással 157 000 oldal ellen,”
– mondta a Wordfence biztonsági kutatója, Ram Gall egy hétfői posztban.
A WooCommerce Payments 4.8.0-tól 5.6.1-ig terjedő verziói sebezhetőek. A plugint több mint 600 000 oldalon telepítették. A hibára vonatkozó javításokat a WooCommerce már 2023. márciusában kiadta, a WordPress pedig automatikus frissítéseket küldött a szoftver érintett verzióit használó oldalakhoz.
A támadásokban megfigyelt közös nevező az „X-Wcpay-Platform-Checkout-User: 1” HTTP kérés fejléc használata, amely a sebezhető oldalakat arra készteti, hogy bármely további terhet adminisztratív felhasználótól érkezőnek tekintsenek.
A Wordfence azt mondta, hogy a fent említett kiskaput fegyverként használják a WP Console plugin telepítésére, amelyet egy adminisztrátor felhasználhat rosszindulatú kód végrehajtására és fájlfeltöltő telepítésére a kitartás beállítása és a kompromittált oldal hátsó ajtónak kialakítása céljából.
Adobe ColdFusion hibák kihasználása a vadonban
A felfedezés akkor történt, amikor a Rapid7 bejelentette, hogy 2023. július 13-tól több ügyfél környezetében észlelte az Adobe ColdFusion hibáinak aktív kihasználását, webhéjakat telepítve a fertőzött végpontokon.
„A fenyegető szereplők úgy tűnik, hogy kihasználják a CVE-2023-29298-at egy másodlagos sérülékenységgel együtt,”
– mondta a Rapid7 biztonsági kutatója, Caitlin Condon. A további hiba úgy tűnik, hogy a CVE-2023-38203 (CVSS pontszám: 9.8), egy deszerializációs hiba, amelyet egy július 14-én kiadott különleges frissítésben javítottak.
A CVE-2023-29298 (CVSS pontszám: 7.5) egy hozzáférési vezérlés megkerülésére vonatkozó sérülékenységet érint, amely a ColdFusion 2023, ColdFusion 2021 Update 6 és az alatta lévő, valamint a ColdFusion 2018 Update 16 és az alatta lévő rendszereket érint.
„A sérülékenység lehetővé teszi egy támadó számára, hogy hozzáférjen az adminisztrációs végpontokhoz a kért URL-ben egy váratlan további perjel karakter beszúrásával,”
– közölte a Rapid7 az előző héten.
A Rapid7 azonban figyelmeztetett, hogy a CVE-2023-29298-ra vonatkozó javítás hiányos, és hogy triviálisan módosítható a Adobe által kiadott javítások megkerülésére.
A felhasználóknak javasoljuk, hogy frissítsenek az Adobe ColdFusion legújabb verziójára a potenciális fenyegetések elleni védekezés érdekében, mivel a CVE-2023-38203 megoldására hozott javítások megszakítják az exploit láncot.
Forrás: thehackernews.com