Meses después del lanzamiento del parche, los piratas informáticos todavía están explotando la falla de seguridad del complemento WooCommerce Payments WordPress. Los investigadores encontraron la vulnerabilidad bajo un ataque activo e instaron a los administradores de WordPress a actualizar sus sitios web a la última versión del complemento de inmediato.
Explotación activa del fallo del complemento de pagos de WooCommerce
En marzo, la empresa de seguridad de WordPress, Wordfence, explicó una grave falla de seguridad en el complemento WooCommerce Payments.
La vulnerabilidad primero llamó la atención del investigador de GoldNetwork Michael Mazzolini, cuyo informe llevó a los desarrolladores a corregir la falla con la versión 5.6.2 del complemento.
Sin embargo, parece que la ignorancia de los administradores de WordPress sobre la actualización de sus sitios web aparentemente está arruinando los esfuerzos de los desarrolladores, ya que Wordfence ahora informa la detección de una explotación activa de la falla.
Según explicó, detectaron una explotación activa de las vulnerabilidades desde el 14 de julio de 2023 para apuntar a diferentes sitios web. Lo especial de esta campaña es que los atacantes abusan de esta falla contra un conjunto específico de sitios web en lugar de apuntar a sitios web aleatorios en masa.
Además, el equipo de Wordfence también observó un aumento en las solicitudes de enumeración de complementos en busca de un archivo readme.txt en el directorio de sitios web wp-content/plugins/woocommerce-payments/. Explicaron que no todas estas solicitudes eran maliciosas. Sin embargo, este comportamiento hizo sonar las alarmas, exponiendo a Wordfence a los intentos de explotación.
Los investigadores descubrieron que estas solicitudes se generaron a partir de miles de direcciones IP, lo que hace que el bloqueo de direcciones IP no sea adecuado para los defensores. Sin embargo, todas las solicitudes maliciosas llevaban el encabezado X-Wcpay-Platform-Checkout-User:1, que indica al sitio que trate las solicitudes entrantes como solicitudes administrativas. Los atacantes que generaron estas solicitudes luego intentaron instalar el complemento WP Console para lograr la ejecución remota de código en los sitios web de destino.
Además de Wordfence, RCE Security compartió un exploit PoC para esta falla en un artículo separado.
Como se ve en la página oficial de WordPress del complemento, el complemento tiene más de 600,000 instalaciones activas. De estos, solo el 40,5% de los sitios web utilizan las últimas versiones de complementos. En comparación, el registro de cambios enumera la versión 6.2.0 del complemento como la última versión.
Dada la gravedad de la falla y la explotación activa, los administradores deben actualizar de inmediato sus sitios web de WordPress a la última versión del complemento.
Háganos saber sus pensamientos en los comentarios.
Fuente https://jagonzalez.org/falla-del-complemento-wp-de-woocommerce-payments-bajo-ataque-activo/?feed_id=12004&_unique_id=64bc98ed43ab9
Comentarios
Publicar un comentario