Под ударом оказался плагин для осуществления действий с подарочными картами

Атакуется брешь в YITH WooCommerce Gift Cards Premium. Этим плагином пользуется множество ресурсов. Их число превышает 50 тысяч. Благодаря багу киберпреступники могут полностью контролировать скомпрометированный ресурс.

Он дает возможность админам продавать у себя в онлайн-магазинах карты подарочного типа. Баг был выявлен в ноябре. Он дает возможность хакерам, не прошедшим аутентификацию, на уязвимые ресурсы загружать специальные файлы, среди которых и те, что обеспечивают над ресурсом абсолютный контроль.

Затрагивает данная брешь плагин всех версий до 3.19.0 включительно. Для версии 3.20.0 был выпущен патч. Но производителем была выпущена уже еще одна версия, следующая 3.21.0. Теперь всем рекомендуют устанавливать обновления уже до последней версии.

В Wordfence говорят, что немало ресурсов и сейчас используют версию с брешью и хакеры это заметили. Баг эксплуатируется на полную мощность. Киберпреступники благодаря бреши встраивают бэкдоры (вирусное ПО), взламывают и захватывают различные ресурсы.

Эксплоит, используемый злоумышленниками, был реконструирован специалистами. Они указывают, что вся проблема в опции import_actions_from_settings_panel. Так как она не проверяет capability и CSRF, есть возможность делать запросы на внедрение вирусных составляющих. При этом IP, с которых они сделаны, не отображаются.

В Wordfence установили, что киберпреступники загружали несколько типов файлов.

Как отмечают аналитики, большая часть кибератак было осуществлено в прошлом месяце, до того, как админы уязвимость исправили. Следующим пиком называют середину текущего месяца, а именно 14.12.2022 г.

Из одного из главных IP, из которых злоумышленники и атаковали свои цели, был IP103.138.108.15. С него пытались взломать более десяти тысяч ресурсов, а количество попыток составило 19 604. На втором месте IP 188.66.0.135. Атаки с него совершались 1 220 раз, а атакам подвергалось 928 ресурсов.

Кибератаки не прекращаются. В связи с этим специалисты советуют обновить плагин до последней версии.