WordPress-baserade webbplatser shopping är under attack från en hacker grupp som missbrukar en sårbarhet i en kundvagn plugin för att plantera bakdörrar och ta över utsatta områden.
Attacker pågår för närvarande, enligt Trotsiga, företaget bakom Wordfence, en brandvägg plugin för WordPress webbplatser.
Hackare är inriktade på WordPress-webbplatser som använder den “Övergivna Vagnen Lite för WooCommerce,” en plugin installerad på över 20 000 WordPress-sajter, enligt den officiella WordPress-Plugins-arkiv.
Hur sårbarheten fungerar
Dessa attacker är en av de sällsynta fall där en världslig och oftast ofarliga cross-site scripting (XSS) som faktiskt kan leda till allvarliga hacka. XSS brister är sällan weaponized i ett farligt sätt.
Dessa hack är uppstår på grund av plugin och sårbarhet: s sätt att fungera, både som kombineras för att skapa den perfekta stormen.
Plugin, som namnet antyder, kan webbplatsadministratörer att visa övergivna kundvagnar –vilka produkter som användare lagt till i sina vagnar innan de hastigt lämnade platsen. Webbplatsägare använder denna plugin för att härleda en lista över potentiellt populära produkter som en butik kanske vill ha på lager i framtiden.
Dessa listor övergivna vagnar är endast tillgänglig i WordPress webbplats, backend, och oftast bara till admins eller andra användare med hög privilegierade konton.
Hur hackare utnyttjar fel
Enligt en rapport från Trotsiga säkerhet forskare Mikey Veenstra, hackare är att automatisera verksamheten mot WordPress och WooCommerce-butiker för att generera kundvagnar som innehåller produkter med felaktigt namn.
De lägger exploit-kod i en av de kundvagn fält, för att sedan lämna platsen, en åtgärd som säkerställer att utnyttja koden lagras i butikens databas.
När en admin öppnar butiken är backend för att visa en lista över övergivna vagnar, hackare ” exploit-kod utförs så snart en viss backend-sidan laddas på användarens skärm.
Veenstra sade att Wordfence har upptäckt flera utnyttjande försök mot att använda denna teknik i de senaste veckorna.
Attackerna företaget fläckig som används för att utnyttja kod som laddas en JavaScript-fil från en bit.ly länk. Denna kod försökt att plantera två olika bakdörrar på webbplatser som kör utsatta plugin.
Den första bakdörr sker i form av ett nytt admin-konto som hackare skapar på webbplatsen. Denna nya admin-användare heter “woouser,” är registrerade med “woouser401a@mailinator.com” e-postadress, och använder ett lösenord för “K1YPRka7b0av1B”.
Den andra bakdörren är mycket smart, och är en teknik som har sällan sett. Veenstra berättade ZDNet skadlig kod som listar alla webbplatsens plugins och ser för det första en som inaktiverats av administratören.
Hackare inte aktivera det, utan istället kommer de att ersätta innehållet av dess viktigaste fil med skadligt skript som fungerar som en bakdörr för framtida åtkomst. Plugin kommer att förbli avaktiverat, men sedan dess filer är fortfarande på disk och kan nås med web ansökningar, hackare kan skicka skadlig instruktioner till denna andra bakdörr i fallet webbplatsägare tar bort “woouser” konto.
Bild: ZDNet
Den lite.ly länk som används för den här kampanjen har visats mer än 5,200 gånger, vilket tyder på att antalet infekterade webbplatser är mest sannolikt i tusental.
Men den 5 200+ nummer är inte helt korrekt. Veenstra förklarar.
“Den Lite.ly statistik kan vara missvisande eftersom en smittad webbplats kan källa att länka flera gånger om XSS nyttolast vistelser i den övergivna vagnen instrumentbrädan och admin frekventerar det,” Veenstra berättade ZDNet i en intervju.
“Det är också svårt att säga hur många framgångsrika XSS-injektioner är att sitta och vänta på en admin för att öppna sidan för första gången,” forskaren också lagts till, vilket tyder på att många webbplatser kanske redan har attackerat, men en bakdörr har ännu inte sättas in på dem, och därav det lite.ly länk ännu inte har lästs in.
Just nu, Veenstra och resten av den Trotsiga personalen kan inte säga säkert vad hackare försöker uppnå genom att hacka in i alla dessa WordPress-baserade kundvagnar.
“Om vi inte har en hel del uppgifter om framgångsrika utnyttjar eftersom vår WAF stannade någon av våra aktiva användare från att få äventyras,” Veenstra sagt.
Hackare kan använda dessa platser för allt från SEO-spam till plantering kort skummare.
“Övergivna Vagnen Lite för WooCommerce” plugin fått en fix för XSS-angrepp av hackare utnyttjar under dessa attacker nyligen i version 5.2.0, som släpptes den 18 februari.
WordPress shopping webbplatser ägare med hjälp av plugin uppmanas att uppdatera sina webbplatser och granska deras kontrollpanel är admin-kontot i listan för misstänkta transaktioner. “Woouser” kan inte vara närvarande, men hackare kunde också ha ändrat det till något annat.
Mer sårbarhet rapporter:
Avslöjar Google Chrome zero-day under aktiv attacksNew utnyttja låter angripare att ta kontroll över Windows IoT-Core-enheter
Google Chrome zero-day användes tillsammans med en Windows 7-noll-dayWDS bugg gör att hackare kapa Windows-Servrar via felaktigt TFTP packetsAdobe släpper out-of-band uppdatera för att lappa ColdFusion noll-dayCisco berättar Nexus byta ägare för att inaktivera POAP funktionen för säkerhet reasonsDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter