Nuevamente los piratas informáticos hacen de las suyas, han descubierto que el plugin YITH WooCommerce Gift Cards Premium tiene una grave falla de seguridad la cual está siendo explotada activamente.
Este complemento de WordPress actualmente tienen más de 50,000 sitios web y es utilizado para vender tarjetas de regalo en sus tiendas en línea. La vulnerabilidad ha sido rastreada como CVE-2022-45359 (CVSS v3: 9.8), y le permite a los atacantes no autenticados cargar archivos en sitios vulnerables, incluidos shells web que brindan acceso completo al sitio.
YITH WooCommerce Gift Cards Premium tiene una grave falla de seguridad
La vulnerabilidad fue descubierta el pasado 22 de noviembre de este año, falla que afectó a todas las versiones del plugin hasta la 3.19.0. Como era de esperarse, los desarrolladores detrás del complemento abordaron el problema y han lanzado la versión 3.21.0 por lo que es recomendable instalar la actualización.
Aunque no te lo creas, actualmente hay muchos sitios web con la versión del complemento que tiene la falla, y los piratas informáticos ya han ideado un exploits para implementarlo. Según ha informado Wordfence, la brecha de seguridad actualmente está siendo utilizada por los piratas informáticos para realizar la carga de archivos en los sitios web que les permite ejecutar código remoto y realizar ataques de adquisición.
La brecha está siendo explotada activamente
De acuerdo al informe emitido por Wordfence, han llevado acabo una ingeniería inversa del exploit y han descubierto que el problema radica en la función «import_actions_from_settings_panel» del complemento el cual se ejecuta como «admin_init«.
Por otra parte, también se ha comprobado que la función no realiza comprobaciones de capacidad o CSRF en versiones vulnerables. Estos problemas permiten que los atacantes envíen solicitudes a «/wp-admin/admin-post.php» haciendo uso de los parámetros apropiados para cargar un ejecutable PHP malicioso en el sitio.
Actualmente los atacantes están haciendo uso de los siguientes archivos:
- kon.php/1tes.php : este archivo carga una copia del administrador de archivos «marijuana shell» en la memoria desde una ubicación remota (shell[.]prinsh[.]com)
- b.php – archivo de carga simple
- admin.php – puerta trasera protegida por contraseña
En la actualidad los ataques a sitios web con este complemento todavía continúan, por lo que es recomendable actualizar el plugin YITH WooCommerce Gift Cards Premium versión 3.21 cuanto antes.
