L’équipe Wordfence Threat Intelligence a suivi les exploits ciblant un Vulnérabilité de téléchargement arbitraire de fichiers de gravité critique dans YITH WooCommerce Gift Cards Premium, un plugin avec plus de 50 000 installations selon le fournisseur.
La vulnérabilité, signalée par le chercheur en sécurité Dave Jong et rendue publique le 22 novembre 2022, a un impact sur les versions du plug-in jusqu’à la version 3.19.0 incluse et permet aux attaquants non authentifiés de télécharger des fichiers exécutables sur des sites WordPress exécutant une version vulnérable du plug-in. Cela permet aux attaquants de placer une porte dérobée, d’obtenir l’exécution de code à distance et de prendre le contrôle du site.
Tous les clients Wordfence, y compris Wordfence Premium, Se soucieret Réponse clients ainsi que Wordfence gratuit les utilisateurs, sont protégés contre les exploits ciblant cette vulnérabilité par les règles de téléchargement de fichiers intégrées du pare-feu Wordfence qui empêchent le téléchargement de fichiers avec des extensions dangereuses connues, de fichiers contenant du code PHP exécutable et de fichiers malveillants connus.
Nous vous recommandons fortement de mettre à jour vers la dernière version du plugin, qui est 3.21.0 au moment de la rédaction de cet article.
Plugin concerné : Cartes-cadeaux Yith WooCommerce Premium
Plugin Slug: yith-woocommerce-cartes-cadeaux-premium
Versions concernées:
Identifiant CVE: CVE-2022-45359
Note CVSS: 9.8 (Critique)
Vecteur CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Des chercheurs: Dave Jon
Version entièrement corrigée: 3.20.0
Nous avons pu désosser l’exploit en nous basant sur le trafic d’attaque et une copie du plugin vulnérable et fournissons des informations sur sa fonctionnalité car cette vulnérabilité est déjà exploitée dans la nature et un correctif est disponible depuis un certain temps.
L’enjeu réside dans la import_actions_from_settings_panel fonction qui s’exécute sur le admin_init crochet.
Depuis admin_init court pour quelconque page dans la /wp-admin/ répertoire, il est possible de déclencher des fonctions qui s’exécutent sur admin_init en tant qu’attaquant non authentifié en envoyant une requête à /wp-admin/admin-post.php.
Depuis le import_actions_from_settings_panel manque également d’un contrôle de capacité et d’un contrôle CSRF, il est trivial pour un attaquant d’envoyer simplement une requête contenant un page paramètre réglé sur yith_woocommerce_gift_cards_panelun ywgc_safe_submit_field paramètre réglé sur importing_gift_cardset une charge utile dans le file_import_csv paramètre de fichier.
Étant donné que la fonction n’effectue aucune vérification de type de fichier, quelconque type de fichier, y compris les fichiers PHP exécutables, peuvent être téléchargés.
public function import_actions_from_settings_panel() {
if ( ! isset( $_REQUEST['page'] ) || 'yith_woocommerce_gift_cards_panel' != $_REQUEST['page'] || ! isset( $_REQUEST['ywgc_safe_submit_field'] ) ) {
return;
}
if ( $_REQUEST['ywgc_safe_submit_field'] == 'importing_gift_cards' ) {
if ( ! isset( $_FILES['file_import_csv'] ) || ! is_uploaded_file( $_FILES['file_import_csv']['tmp_name'] ) ) {
return;
}
$uploaddir = wp_upload_dir();
$temp_name = $_FILES['file_import_csv']['tmp_name'];
$file_name = $_FILES['file_import_csv']['name'];
if ( ! move_uploaded_file( $temp_name, $uploaddir['basedir'] . '\\' . $file_name ) ) {
return;
}
$this->import_from_csv( $uploaddir['basedir'] . '\\' . $file_name, get_option( 'ywgc_csv_delimitier', ';' ) );
}
}
Cyber observables
Ces attaques peuvent apparaître dans vos journaux comme inattendues POST demande à wp-admin/admin-post.php à partir d’adresses IP inconnues. De plus, nous avons observé les charges utiles suivantes qui peuvent être utiles pour déterminer si votre site a été compromis. Notez que nous fournissons des hachages normalisés (hachages du fichier avec tous les espaces superflus supprimés) :
kon.php/1tes.php – ce fichier charge une copie du gestionnaire de fichiers « marijuana shell » en mémoire à partir d’un emplacement distant à shell[.]prinsh[.]com et a un hachage sha256 normalisé de 1a3babb9ac0a199289262b6acf680fb3185d432ed1e6b71f339074047078b28c
b.php – ce fichier est un simple téléchargeur avec un hachage sha256 normalisé de 3c2c9d07da5f40a22de1c32bc8088e941cea7215cbcd6e1e901c6a3f7a6f9f19
admin.php – ce fichier est une porte dérobée protégée par mot de passe et a un hachage sha256 normalisé de 8cc74f5fa8847ba70c8691eb5fdf8b6879593459cfd2d4773251388618cac90d
Bien que nous ayons vu des attaques provenant de plus d’une centaine d’adresses IP, la grande majorité des attaques provenaient de seulement deux adresses IP :
103.138.108.15qui a envoyé 19604 attaques contre 10936 sites différents
et188.66.0.135qui a envoyé 1220 attaques contre 928 sites.
La majorité des attaques se sont produites le lendemain de la divulgation de la vulnérabilité, mais se sont poursuivies, avec un autre pic le 14 décembre 2022. Comme cette vulnérabilité est insignifiante à exploiter et offre un accès complet à un site Web vulnérable, nous prévoyons que les attaques se poursuivront bien dans le futur.
Recommandations
Si vous utilisez une version vulnérable de YITH WooCommerce Gift Cards Premium, c’est-à-dire toute version jusqu’à la version 3.19.0 incluse, nous vous recommandons fortement de mettre à jour vers la dernière version disponible. Bien que le pare-feu Wordfence offre une protection contre les téléchargements de fichiers malveillants, même pour les utilisateurs gratuits, les attaquants peuvent toujours être en mesure de causer des problèmes de nuisance en abusant de la fonctionnalité vulnérable de manière moins critique.
Si vous pensez que votre site a été compromis en raison de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire. Si vous avez des amis ou des collègues qui utilisent ce plugin, veuillez partager cette annonce avec eux et les encourager à mettre à jour la dernière version corrigée de YITH WooCommerce Gift Cards Premium dès que possible.
Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence Community Edition.
Source link