Une vulnérabilité critique affectant le plugin WordPress YITH WooCommerce Gift Cards Premium, qui est installé sur plus de 50 000 sites web, est activement ciblée par les pirates.

YITH WooCommerce Gift Cards Premium est un plugin permettant aux opérateurs de sites web de vendre des cartes cadeaux dans leurs boutiques en ligne.

Identifiée sous le nom de CVE-2022-45359, la faille permet aux attaquants non authentifiés de télécharger des fichiers sur des sites vulnérables, y compris des shells web qui fournissent un accès complet au site.

CVE-2022-45359 affecte toutes les versions du plugin jusqu'à 3.19.0. La version 3.20.0 de la mise à jour de sécurité du fournisseur, qui corrigeait le problème, a depuis été remplacée par la version 3.21.0, qui est le point de mise à niveau suggéré.

Malheureusement, de nombreux sites Web continuent d'utiliser la version obsolète et faible, et les attaquants ont déjà créé un exploit réussi pour les cibler.

Selon les experts en sécurité WordPress de Wordfence, l'effort d'exploitation est en bonne voie, les pirates exploitant la vulnérabilité pour télécharger des portes dérobées sur les sites, obtenir l'exécution de code à distance et réaliser des attaques de prise de contrôle.

L'ingénierie inverse d'un exploit d'attaque par Wordfence a révélé que le problème se situe au niveau de la fonction "import actions from settings panel" du plugin, qui est appelée sur le hook "admin init".

De plus, dans les versions sensibles, cette fonction n'exécute pas les contrôles CSRF ou de capacité.

Grâce à ces deux failles, des attaquants non authentifiés peuvent soumettre des requêtes POST avec les paramètres appropriés à "/wp-admin/admin-post.php" et télécharger un exécutable PHP malveillant sur le site Web.

Le fait que les requêtes malveillantes apparaissent dans les journaux comme des requêtes POST inattendues provenant d'adresses IP inconnues peut alerter les administrateurs du site d'une attaque.

Les fichiers téléchargés repérés par Wordfence sont les suivants :

·         kon.php/1tes.php - ce fichier charge une copie du gestionnaire de fichiers "marijuana shell" en mémoire depuis un emplacement distant (shell[.]prinsh[.]com)

·         b.php - fichier de téléchargement simple

·         admin.php - porte dérobée protégée par un mot de passe

L'adresse IP 103.138.108.15 a été une source importante d'attaques, lançant 19 604 tentatives d'exploitation contre 10 936 sites Web. L'adresse IP la plus importante suivante est 188.66.0.135, qui a mené 1 220 attaques contre 928 sites WordPress.

Il est conseillé aux utilisateurs du plugin YITH WooCommerce Gift Cards Premium de mettre à jour vers la version 3.21 dès que possible, car les tentatives d'exploitation sont toujours en cours.