WooCommerce

Критична уязвимост, позволяваща достъп до информация за поръчки, клиенти и административни данни на засегнатите електронни магазини е отстранена в модула за електронна търговия на WordPress – WooCommerce и свързания с него модул WooCommerce Blocks. Препоръката на създателите им е незабавен ъпдейт до версия 5.5.1.

Малко след оповестяването на новината, изтекоха и първите данни за експлоатирането ѝ в реална среда в блога на Wordfence. Т.е. уязвимостта съвсем не е безобидна и, ако още не сте ъпдейтнали магазина си – направете го максимално скоро.

Какво позволява уязвимостта

В официалната информация в блога woocommerce.com няма конкретика за това до какво точно може да доведе експлоатирането на уязвимостта. При различните магазини, „засегнатата уязвимата информация ще бъде различна[…], но може да съдържа данни за поръчки, клиенти и административни данни“, пише в съобщението. Очаква се и създаването на инструмент или набор стъпки за проверка дали магазинът ви не е сред засегнатите.

Според наше проучване, става въпрос за открита и патчната възможност за SQL инжекции в функции, свързани с филтриране на продукти. Лошата новина е, че според Wordfence уязвимостта позволява UNION-based SQL инжекция – т.е. информацията може да се извлича комбинирано от няколко таблици от базата данни едновременно, което от своя страна означава: повече щети, реализирани по-бързо.

Как да разбера дали не съм станал жертва

Точни индикации все още няма, но има фактори, по които може да съдите, че сте сред засегнатите:

• потърсете заявки, съдържащи SQL  параметри, към /wp-json/wc/store/products/collection-data или ?rest_route=/wc/store/products/collection-data в логовете на сървъра си
• прегледайте и за заявки, съдържащи %2525 също може да са индикатор за компрометиране

След появата на първите данни за успешни пробиви, става ясно, че те се случват от ограничен набор IP адрес – потърсете и тях в логовете си:

107.173.148.66
84.17.37.76
122.161.49.71

Какво да направя, за да се предпазя

Малко след обявяването на новината около 2:30 часа българско време на 15 юли 2021 г., автоматично са били ъпдейтнати всички сайтове, хостнати на WordPress.com и WordPress VIP. Междувременно създателите на WooCommerce – Automatic – работят за пушването на автоматичен ъпдейт на „колкото се може повече сайтове“.

Какви са промените в ъпдейта на WooCommerce вижте тук.

Засегнати са над 90 версии на WooCommerce между 3.3 и 5.5. и между 2.2 и 5.5. на WooCommerce Blocks. Вижте пълен списък със стабилните рилийзи със запушена уязвимост тук.

Към момента над 50% от сайтовете, работещи с WooCommerce, са с версия, по-стара от 5.1., а само 7.2% от сайтовете са защитени от уязвимостта (с версия над 5.5.+).

Уязвимост в модула за управление на отстъпки Discount Rules for WooCommerce поставя под риск над 30 хил. сайта, които работят с него. Проблемът с модула е решен на 13 август, а авторите му препоръчват незабавен ъпдейт към версия 2.1.1. на модула.

Discount Rules for WooCommerce позволява задаването на автоматизирани правила за отстъпки при поръчка на определени количества продукти, както и реализирането на други типове промоции. Решението е предназначено за WooCommerce – разширение за електронна търговия на WordPress.

Уязвимостите в него са позволявали на атакуващите да придобият контрол върху засегнатите сайтове. Засечени са и опити за атаки предимно от IP адреса 45[.]140.167.17, който се е опитвал да инжектира заразени скриптове посредством уязвимостите.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Уязвимост в безплатната и платена версия на плъгина за WooCommerce Abandoned Cart позволява кражбата на администраторски акаунти в сайтовете, които го използват, съобщават от производителя му Tyche Softwares. Разкритата в средата на февруари пробойна е отстранена и препоръчваме на потребителите му да ъпдейтнат до най-новата версия. Към момента 42% от ползвателите са го направили, коментират от Tyche Softwares.

По данни на ZDNet с безплатната версия на плъгина работят около 20 000 сайта.

Как работи уязвимостта

Засегнатите плъгини се казват Abandoned Cart Lite (безплатна версия) и Abandoned Cart Pro (платена версия).

Според официалната информация от компанията, уязвимостта позволява на атакуващия да създаде нов потребител с име woouser и имейл в услугата Mailinator (конкретният адрес е [email protected]), който има администраторски права в засегнатия сайт.  Проблемът е открит от потребителка, която е съдействала и за отстраняването му. Подробна техническа информация за самата уязвимост не е предоставена публично от авторите на плъгина с уточнението, че те не искат да разкриват как се осъществяват такива зловредни действия.

Публикации в други медии твърдят, че пробойната в плъгините се дължи на cross-site scripting (XSS) уязвимости. Добавката за WooCommerce (която е и сред най-популярните платформи за електронна търговия в България) позволява на администраторите на сайтовете да следят кои потребители са започнали да пазаруват, но не са завършили поръчките си. Търговците виждат списък с потребители и добавените от тях в кошницата продукти.

Според Defiant security хакерите използват полетата в количката на магазина, за да добавят зловреден код в базата данни на сайта. В последствие, когато администраторът влезе, за да провери списъка с незавършени поръчки и стигне до компрометираната такава, кодът се изпълнява и дава администраторски права на хакерите и опитва да инсталира два бекдора.

Първият работи с цел да създаде горе описания администраторски акаунт.

Вторият създава списък с използваните от платформата WordPress плъгини на сайта, проследява кой е първият деактивиран от тях и подменят съдържанието му, без да го активират. Новият, заразен „плъгин“ позволява отдалечен достъп до сайта.