Weboldalak eltérítése: A WooCommerce és Adobe ColdFusion hibáinak kihasználása

Cyberbűnözők a WooCommerce Payments bővítmény hibáját használják fel weboldalak eltérítésére

Fenyegető elemzők aktívan kihasználják a nemrég feltárt kritikus biztonsági hibát a WooCommerce Payments WordPress bővítményben, mint egy széleskörű célzott kampány részét.

A hiba, amelyet CVE-2023-28121-ként követnek nyomon (CVSS pontszám: 9.8), egy autentikáció megkerülési eset, amely lehetővé teszi az azonosítatlan támadók számára, hogy tetszőleges felhasználókat utánozzanak és néhány műveletet végezzenek el az utánozott felhasználóként, beleértve az adminisztrátort is, ami potenciálisan a webhely átvételéhez vezethet.

„A sérülékenység elleni nagyméretű támadások, amelyeket CVE-2023-28121-ként jelöltek meg, 2023. július 14-én, csütörtökön kezdődtek és a hétvégén folytatódtak, szombaton, 2023. július 16-án 1,3 millió támadás volt 157 000 webhely ellen,”

-mondta Ram Gall, a Wordfence biztonsági kutatója egy hétfői bejegyzésben.

A WooCommerce Payments 4.8.0-tól 5.6.1-ig terjedő verziói sérülékenyek. A bővítmény több mint 600 000 weboldalon van telepítve. A WooCommerce 2023. márciusában kiadta a hibajavításokat, a WordPress pedig automatikus frissítéseket küldött a szoftver érintett verzióit használó webhelyekre.

A támadások közös nevezője az „X-Wcpay-Platform-Checkout-User: 1” HTTP kérésfejléc használata, ami azt eredményezi, hogy a sérülékeny webhelyek bármely további terhelést az adminisztrációs felhasználótól érkezőként kezelnek.

A Wordfence azt mondta, hogy az előbb említett kiskaput arra használják, hogy telepítsék a WP Console bővítményt, amelyet egy adminisztrátor használhat káros kód végrehajtására és egy fájlfeltöltő telepítésére, amelyet tartósság és backdoor beállítására használnak a kompromittált webhelyen.

Adobe ColdFusion hibák kihasználása a vadonban

A bejelentés akkor történt, amikor a Rapid7 jelentette, hogy 2023. július 13-án kezdve több ügyféli környezetben észlelték az Adobe ColdFusion hibák aktív kihasználását webshell-ek telepítésére a fertőzött végpontokon.

„A fenyegető elemzők úgy tűnik, hogy kihasználják a CVE-2023-29298-at egy másodlagos sérülékenységgel együtt,”

-mondta Caitlin Condon, a Rapid7 biztonsági kutatója. Az további hiba úgy tűnik, hogy a CVE-2023-38203 (CVSS pontszám: 9.8), egy deszerializációs hiba, amit egy sürgősségi frissítésben javítottak 2023. július 14-én.

A CVE-2023-29298 (CVSS pontszám: 7.5) egy hozzáférés-ellenőrzési megkerülési sebezhetőséget érint, amely hatással van a ColdFusion 2023-ra, a ColdFusion 2021 Update 6-ra és alatta, valamint a ColdFusion 2018 Update 16-ra és alatta.

„A sérülékenység lehetővé teszi a támadó számára, hogy hozzáférjen az adminisztrációs végpontokhoz, azzal, hogy a kért URL-be egy váratlan további perjel karaktert illeszt be,”

-hozta nyilvánosságra a Rapid7 az elmúlt héten.

A Rapid7 azonban azt figyelmeztette, hogy a CVE-2023-29298 javítása hiányos, és azt könnyen módosíthatják, hogy kikerüljék az Adobe által kiadott javításokat.

A felhasználóknak javasoljuk, hogy frissítsenek a legújabb Adobe ColdFusion verzióra a lehetséges fenyegetések elleni védekezés érdekében, mivel a CVE-2023-38203 megoldására tett javítások megszakítják az exploit láncot.