Les pirates effectuent une exploitation généralisée d’un plugin de paiements WooCommerce critique pour obtenir les privilèges de tous les utilisateurs, y compris les administrateurs, sur l’installation de WordPress vulnérable.
WooCommerce Payments est un plugin WordPress très populaire permettant aux sites Web d’accepter les cartes de crédit et de débit comme paiement dans les magasins WooCommerce. Selon WordPress, le plugin est utilisé sur plus de 600 000 installations actives.
Le 23 mars 2023, les développeurs ont publié la version 5.6.2 pour corriger la vulnérabilité critique 9.8 suivie sous le nom de CVE-2023-28121. La faille affecte les versions du plugin de paiement WooCommerce 4.8.0 et supérieur, étant fixée dans les versions 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 , 5.6.2, et plus tard.
Comme la vulnérabilité permet à tout utilisateur distant d’identifier un administrateur et de prendre un contrôle complet sur un site WordPress, Automattic Force a installé la correction de sécurité des installations WordPress en utilisant le plugin.
À l’époque, WooCommerce a déclaré qu’il n’y avait aucune exploitation active connue de la vulnérabilité, mais les chercheurs ont averti qu’en raison de la nature critique du bogue, nous verrions probablement l’exploitation à l’avenir.
Flaw a activement exploité
Ce mois-ci, des chercheurs de RCE Security ont analysé le bogue et publié un blog technique sur la vulnérabilité CVE-2023-28121 et comment il peut être exploité.
Les chercheurs expliquent que les attaquants peuvent simplement ajouter un en-tête de demande «X-WCPAY-PlatForm-Checkout-User» et le définir sur l’ID utilisateur du compte qu’ils souhaitent se promener.
Lorsque WooCommerce Payments voit cet en-tête, il traitera la demande comme s’il provenait de l’ID utilisateur spécifié, y compris tous les privilèges de l’utilisateur.
Dans le cadre de l’article de blog, RCE Security a publié un exploit de preuve de concept qui utilise ce défaut pour créer un nouvel utilisateur d’administration sur des sites vulnérables WordPress, ce qui permet aux acteurs de menace facilement de prendre un contrôle complet sur le site.
Aujourd’hui, la société de sécurité WordPress WordFence a averti que les acteurs de la menace exploitent cette vulnérabilité dans une campagne massive ciblant plus de 157 000 sites d’ici samedi.
« Des attaques à grande échelle contre la vulnérabilité, attribuées au CVE-2023-28121, ont commencé le jeudi 14 juillet 2023 et se sont poursuivies au cours du week-end, culminant à 1,3 million d’attaques contre 157 000 sites le samedi 16 juillet 2023 », explique Wordfence.
WordFence indique que les acteurs de la menace utilisent l’exploit pour installer le plugin de console WP ou créer des comptes d’administrateur sur l’appareil ciblé.
Pour les systèmes sur lesquels WP Console a été installé, les acteurs de la menace ont utilisé le plugin pour exécuter le code PHP qui installe un téléchargeur de fichiers sur le serveur qui peut être utilisé comme porte dérobée même après la réparation de la vulnérabilité.?
Wordfence dit avoir vu d’autres attaquants utiliser l’exploit pour créer des comptes d’administrateur avec des mots de passe aléatoires.
Pour rechercher des sites WordPress vulnérables, les pirates essaient d’accéder au fichier ‘/wp-content/plugins/woocommerce-payments/readme.txt’, et s’il existe, ils exploitent la faille.
Les chercheurs ont partagé sept adresses IP responsables de ces attaques, l’adresse IP 194.169.175.93 scannant 213 212 sites.
Breachtrace a constaté une activité similaire dans nos journaux d’accès à partir du 12 juillet.
En raison de la facilité avec laquelle CVE-2023-28121 peut être exploité, il est fortement conseillé à tous les sites utilisant le plugin WooCommerce Payment de s’assurer que leurs installations sont à jour.
Si vous n’avez pas mis à jour votre installation récemment, il est également conseillé aux administrateurs du site d’analyser leurs sites à la recherche de fichiers PHP inhabituels et de comptes d’administrateur suspects et de supprimer ceux qui sont trouvés.