WordPress gebaseerde websites van winkels worden onder de aanval van een hacker groep die misbruik maakt van een kwetsbaarheid in een shopping cart plugin te planten backdoors en over te nemen van kwetsbare sites.
Aanvallen zijn op dit moment, volgens Uitdagend, het bedrijf achter Wordfence, een firewall, de plugin voor WordPress sites.
Hackers zijn gericht op WordPress sites die gebruik maken van de “Verlaten Winkelwagen Lite voor WooCommerce,” een plugin geïnstalleerd op meer dan 20.000 WordPress websites, volgens de officiële WordPress Plugins-gegevensopslagruimte.
Hoe de kwetsbaarheid werkt
Deze aanvallen zijn een van die zeldzame gevallen waar een alledaagse en meestal onschadelijk cross-site scripting (XSS) lek kan daadwerkelijk leiden tot ernstige hacks. XSS gebreken zijn zelden weaponized in zulk een gevaarlijke manier.
Deze hacks zijn, ontstaan doordat van de plugin en de kwetsbaarheid van de modus van de werking, die beide combineren om de perfecte storm.
De plug-in, zoals de naam al aangeeft, kunnen de beheerders van de website te bekijken verlaten winkelwagentjes –welke producten gebruikers toegevoegd in hun karren voordat ze plotseling links van de site. Site-eigenaren gebruik maken van deze plugin afleiden uit een lijst van potentieel populaire producten die in een winkel zou willen op voorraad hebben in de toekomst.
Deze lijsten verlaten karren zijn alleen toegankelijk in de WordPress site in de backend, en meestal alleen voor admins of andere gebruikers met hoge-accounts.
Hoe hackers zijn het benutten van de fout
Volgens een rapport van Opstandige security-onderzoeker Mikey Veenstra, hackers zijn handelingen te automatiseren tegen WordPress WooCommerce op basis van de winkels te genereren winkelen karren met producten die met verkeerde namen.
Ze voegen exploit code in een van de winkelwagen, de velden, verlaat dan de website, een actie die ervoor zorgt dat de exploit-code wordt opgeslagen in de winkel in de database.
Wanneer een admin heeft toegang tot de winkel backend om een lijst te bekijken van verlaten karren, de hackers een exploit code wordt uitgevoerd zodra een bepaalde backend pagina is geladen op het scherm van de gebruiker.
Veenstra zei dat Wordfence heeft gedetecteerd verschillende exploitatie pogingen tegen het gebruik van deze techniek in de afgelopen paar weken.
De aanvallen van de vennootschap gespot gebruikt exploit code die geladen wordt een JavaScript-bestand van een bit.ly link. Deze code geprobeerd te planten twee verschillende achterdeurtjes op sites waarop de kwetsbare plugin.
De eerste achterdeur neemt de vorm aan van een nieuwe admin account dat hackers maken op de site. Deze nieuwe admin user met de naam “woouser,” is een gedeponeerd bij de woouser401a@mailinator.com” e-mail adres, en maakt gebruik van een wachtwoord van “K1YPRka7b0av1B”.
De tweede backdoor is heel slim, en is een techniek die is zelden gezien. Veenstra vertelde ZDNet de kwaadaardige code staan alle site ‘ s van plugins en het ziet er voor de eerste die is uitgeschakeld door de site admin.
Hackers niet opnieuw in te schakelen, maar in plaats daarvan, ze vervangen de inhoud van haar belangrijkste bestand met een kwaadaardig script die werkt als een achterdeur voor de toekomst. De plugin zal blijven gedeactiveerd, maar sinds de bestanden nog op schijf en is bereikbaar met de web-aanvragen, de hackers kunnen sturen kwaadaardige instructies om deze tweede backdoor in het geval dat site-eigenaren verwijder de “woouser” account.
Afbeelding: ZDNet
De bit.ly link gebruikt voor deze campagne is toegankelijk ruim 5200 keer, wat suggereert dat het aantal geïnfecteerde sites is het meest waarschijnlijk in de duizenden.
Echter, de 5,200+ aantal is niet helemaal juist. Zegt Veenstra.
“Het Bit.ly stats kan misleidend zijn, omdat een geïnfecteerde site kunnen de bron die link meerdere malen als de XSS lading blijft in de verlaten winkelwagen dashboard en de admin bezoekt,” Veenstra vertelde ZDNet in een interview.
“Het is ook moeilijk om te zeggen hoe veel succesvolle XSS injecties te wachten op een admin te openen dat de pagina voor de eerste keer,” de onderzoeker ook toegevoegd, wat suggereert dat veel sites hebben aangevallen, maar een achterdeur moet nog worden geïmplementeerd op hen, en dus de bits.ly link nog niet is geladen.
Nu, Veenstra en de rest van de Opstandige personeel kan niet met zekerheid zeggen wat hackers proberen te bereiken door het hacken van al deze WordPress-gebaseerde winkelwagentjes.
“We hebben niet veel van de gegevens over de succesvolle exploits omdat onze WAF gestopt met een van onze actieve gebruikers niet in het gedrang,” Veenstra gezegd.
Hackers kunnen worden met behulp van deze sites, voor alles van SEO spam te planten kaart skimmers.
De “Verlaten Winkelwagen Lite voor WooCommerce” plugin ontvangen een fix voor het XSS-aanval van hackers uitbuiten tijdens deze recente aanslagen in versie 5.2.0, uitgebracht op 18 februari.
WordPress shopping sites eigenaren met behulp van de plugin wordt geadviseerd om een update van hun sites en hun control panel admin account lijst voor verdachte items. De “woouser” misschien niet aanwezig, maar hackers kunnen ook veranderd in iets anders.
Meer kwetsbaarheid rapporten:
Google onthult Chrome zero-day onder actieve attacksNew benutten kunt aanvallers neem de controle van Windows Ivd-Core-apparaten
Google: Chrome zero-day werd gebruikt in combinatie met een Windows 7 nul-dayWDS bug kunt hackers kapen Windows-Servers via ongeldige TFTP packetsAdobe releases out-of-band update patch ColdFusion nul-dayCisco vertelt Nexus switch eigenaren uitschakelen POAP functie voor de veiligheid reasonsDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters