SOS :: Security Operation Space
23 марта, суббота, 00:00
|
Hot News:

Уязвимость в WordPress-плагине угрожает интернет-магазинам

13 марта 2019 г., среда, 16:15

Эксперты обнаружили XSS-уязвимость в Abandoned Cart For WooCommerce — плагине для отслеживания забытых корзин.

Расширение для интернет-магазинов на базе WordPress оказалось уязвимо перед XSS-атаками, позволяя злоумышленникам выполнять сторонний код на взломанном сайте. Под угрозой оказались более 20 тыс. веб-ресурсов, которые используют небезопасное ПО.

Проблема обнаружилась в компоненте Abandoned Cart Lite For WooCommerce (ACL) — он позволяет отслеживать брошенные корзины с товарами, чтобы напомнить посетителям о необходимости завершить заказ. Для этого плагин сохраняет данные покупателя, чтобы затем передать информацию на панель администратора, если пользователь закрыл вкладку или покинул страницу.

Как выяснили эксперты Wordfence, при выполнении этих операций ACL не санирует данные, с которыми работает. Это позволяет преступнику при регистрации нового покупателя встроить вредоносный скрипт в одно из полей анкеты. В дальнейшем сайт выполнит сторонний код, когда пользователь с правами администратора откроет веб-панель.

По словам специалистов, уязвимость уже применяется в реальных атаках. В ходе обнаруженной кампании злоумышленники заводят ложные аккаунты покупателей и указывают опасный код в поле «Фамилия», а во всех остальных — случайную информацию.

Скрипт обращается по зараженной ссылке, где размещен сценарий visionstat.js, загружающий два бэкдора. Все операции идут в невидимом окне, где эмулируются необходимые действия.

Первый образец полезной нагрузки создает новый аккаунт администратора, открывая преступникам доступ к атакованной торговой площадке. Второй бэкдор встраивает PHP-скрипт во все плагины, которые установлены на сайте, но в данный момент не используются. Эта закладка позволяет взломщикам выполнять на сайте сторонний код и полностью контролировать веб-сервер.

Эксперты выделили несколько особенностей атаки, которые повышают ее угрозу. Во-первых, благодаря использованию короткой ссылки организаторы могут поменять страницу, к которой обращается вредоносный скрипт, если ее заблокируют.

Во-вторых, чтобы окончательно разобраться с поразившим магазин зловредом, администратору нужно проверить все установленные плагины. Любой из них может содержать бэкдор, который обеспечит злоумышленникам возможность для новых атак.

Компания Tyche Softwares, создательница уязвимого плагина, уже обновила его, но, по мнению исследователей, выпущенный патч не справляется с нейтрализацией угрозы. Программисты добавили функцию очистки при заполнении форм — злоумышленники больше не могут расширять круг своих жертв. Однако без проверки данных на выходе бэкдор останется опасным для всех сайтов, которые уже успел поразить.

Чтобы обезопасить такие ресурсы, разработчики Tyche Softwares внедрили в ACL поиск пользователей с подозрительными именами. Скрипт определяет их по символу «<» — он открывает HTML-теги. Кроме того, плагин автоматически удаляет пользователей с email-адресом, который использовался в обнаруженных атаках.

Эксперты также отметили, что обновление не решило проблему сторонних плагинов. Эти компоненты так и останутся зараженными, пока их разработчики не обновят ПО или сами администраторы не проведут профилактику используемых надстроек.

В конце 2018 года ИБ-специалисты нашли в плагине WooCommerce уязвимость, которая позволяла перехватывать управление над интернет-магазинами. Атаки стали возможными из-за чрезмерных прав одной из ролей, позволявшей пользователям редактировать администраторские учетные записи.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:19
12:15
10:15
10:15
09:15
08:15
07:15
06:24
05:26
16:31
16:24
16:15
14:19
13:15
13:15
11:15
09:15
08:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.216
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.