versioni senza patch del carrello abbandonato a WooCommerce plugin per wordpress che sono state sfruttate in attacchi, dicono i ricercatori. Apparentemente, c'è un pericoloso XSS (scripting cross-site) vulnerabilità nel plug-in, che colpisce sia le versioni a pagamento e libero del plugin.
Lo scorso mese, un cross-site scripting memorizzata (XSS) difetto è stato patchato nella versione 5.2.0 del WordPress popolare plug Carrello abbandonato Lite Per WooCommerce, detto i ricercatori Wordfence.
Carrello Abbandonato per WooCommerce WordPress Plugin sfruttati in attacchi
Il carrello Abbandonato per WooCommerce plug-in plug-in è stato progettato per aiutare i proprietari di siti WooCommerce per monitorare abbandonati carrelli della spesa al fine di recuperare tali vendite. Tuttavia, i ricercatori hanno scoperto “una mancanza di servizi igienico-sanitari sia di input e output”, che consente agli aggressori di iniettare dannosi carichi JavaScript nei vari campi di dati. Questi carichi sono impostati per eseguire quando un utente connesso con privilegi di amministratore visualizza l'elenco dei carrelli abbandonati dal loro dashboard di WordPress.
Come è l'attacco effettuato? I criminali informatici creano un carrello con le informazioni di contatto falsi, che viene abbandonato. Secondo il rapporto, i nomi e le email sono casuali, ma le richieste seguono lo stesso modello: il nome e cognome generato sono forniti insieme come billing_first_name, ma il campo billing_last_name contiene il payload iniettato .
Тhe shortener bit.ly utilizzati in questi attacchi risolve hXXps://cdn-BigCommerce[.]com / visionstat.js.
il dominio, che tenta di guardare innocua rappresentando l'cdn.bigcommerce.com legittima, punti al comando e controllo (C2) server dietro l'infezione. Lo script di destinazione, visionstat.js, è un dannoso carico utile JavaScript che usa proprio sessione del browser della vittima per distribuire backdoor sul loro sito.
Va notato che due backdoor vengono distribuiti negli attacchi: viene creato un account di amministratore canaglia, e un plugin disattivato è stato infettato da uno script di esecuzione di codice. Entrambe queste azioni vengono eseguite con la creazione di un iframe nascosto nella finestra del browser esistente del amministratore, quindi simulando il processo di compilazione e presentazione dei moduli necessari al suo, hanno detto i ricercatori.
I ricercatori avevano individuato 5,251 accessi al link bit.ly associato con gli attacchi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: