MKD-CIRT National Centre for Computer Incident Response
Хакерите активно ја искористуваат ранливоста со висока сериозност во популарниот Elementor Pro WordPress plugin што го користат над единаесет милиони веб-сајтови.
Elementor Pro е plugin за создавање WordPress страници кој им овозможува на корисниците лесно да креираат страници со професионален изглед без да знаат како да кодираат, креирање теми, колекција на шаблони, приспособена поддршка за графички контроли и креирање на WooCommerce за онлајн продавници.
Оваа ранливост беше откриена од страна на истражувачот на NinTechNet Jerome Bruandet на 18 март 2023 година, кој сподели технички детали оваа недела за тоа како може да се искористи грешката кога ќе се инсталира заедно со WooCommerce.
Проблемот, кој влијае на 3.11.6 и сите верзии пред него, им овозможува на автентицираните корисници, како што се клиентите на продавниците или членовите на страницата, да ги променат поставките на страницата, па дури и да извршат целосно преземање на страницата.
Истражувачот објасни дека пропустот се однесува на прекината контрола на пристап на WooCommerce plugin модулот („elementor-pro/modules/woocommerce/module.php“), дозволувајќи му на секој да ги менува WordPress опциите во базата на податоци без соодветна валидација.
Пропустот се искористува преку ранлива AJAX акција, „pro_woocommerce_update_page_option“, која не функционира поради лошо имплементирана валидација на влезот и недостаток на проверки на способности.
„Автентициран хакер може да ја искористи ранливоста за да создаде администраторска сметка со овозможување регистрација и поставување на стандардната улога на „администратор“, да ја смени email адресата на администраторот или, да го пренасочи целиот сообраќај кон надворешна малициозна веб-страница со менување на веб-страницата меѓу многу други можности. Објасни Bruandet во техничкиот запис за грешката.
Важно е да се напомене дека за да се искористи одредената грешка, на страницата мора да се инсталира и WooCommerce, кој го активира соодветниот ранлив модул на Elementor Pro.
Безбедносната компанија на WordPress, PatchStack, известува дека хакерите активно ја искористуваат оваа ранливост на Elementor Pro за да ги пренасочат посетителите кон малициозни домени (“away[.]trackersline[.]com”) или да поставуваат backdoors на пробиената страница.
PatchStack изјави дека backdoors поставени во овие напади се именувани како wp-resortpark.zip, wp-rate.php или llll.zip.
Иако не беа дадени многу детали во врска со овие backdoors, BleepingComputer најде примерок од lll.zip архивата, која содржи PHP скрипта што му овозможува на хакерот да испрати дополнителни датотеки на компромитиран сервер.
Овој backdoor ќе му овозможи на хакерот да добие целосен пристап до WordPress страницата, без разлика дали ќе украде податоци или ќе инсталира дополнителен малициозен код.
PatchStack изјави дека повеќето од нападите што ги таргетираат ранливите веб-страници потекнуваат од следните три IP адреси, па затоа се предлага тие да се додадат на блок листа:
– 193.169.194.63
– 193.169.195.64
– 194.135.30.6
Ако вашиот сајт користи Elementor Pro, важно е да го надградите со 3.11.7 верзија или понова (последната достапна е 3.12.0) што е можно поскоро, бидејќи хакерите веќе таргетираат ранливи веб-страници.
Минатата недела, WordPress итно го ажурираше WooCommerce Payments plugin за онлајн продавници за да одговори на критична ранливост што им овозможи на неавтентицираните хакери да добијат администраторски пристап до ранливите страници.
Извор: BleepingComputer