هکرها از یه آسیب پذیری به شناسه CVE-2022-45359 که در پلاگین YITH WooCommerce Gift Cards Premium هستش برای هک سایتهای وردپرسی استفاده میکنن.
این آسیب پذیری دارای امتیاز 9.8 هستش و به مهاجم بدون احراز هویت ، امکان آپلود فایل مانند وب شل رو میده. بیش از 50 هزار سایت از این پلاگین برای فروش کارت هدیه استفاده میکنن.
آسیب پذیری 22 نوامبر افشا شده و نسخه های 3.19.0 و پایینتر رو تحت تاثیر قرار میداده .
نسخه 3.20.0 برای اصلاح این آسیب پذیری منتشر شد. متاسفانه با توجه به زمان انتشار نسخه اصلاحیه تا به امروز و حتی نسخه جدیدتر 3.21.0 ، هنوز سایتهایی هستن که از نسخه های آسیب پذیر استفاده میکنن.
محققای Wordfence با مهندسی معکوس اکسپلویتی که هکرها دارن ازش استفاده میکنن ، متوجه شدن که آسیب پذیری در تابع import_actions_from_settings_panel هستش که روی admin_init اجرا میشه و همچنین به دلیل عدم بررسی CSRF هستش. در نتیجه مهاجم با استفاده از این دو مشکل میتونه با ارسال یه درخواست POST به مسیر زیر امکان آپلود فایل رو داشته باشه.
/wp-admin/admin-post.php
چطوری بررسی کنیم که هک شدیم؟
ادمین سایتهایی که از این پلاگین استفاده میکنن علاوه بر اینکه باید به نسخه اصلاح شده ارتقاء بدن ، سایتشون رو هم باید بررسی کنن که هک نشده باشه. برای این کار موارد زیر رو بررسی کنید:
– بررسی فایل لاگ برای درخواستهای POST از آی پی های ناشناخته
– وجود فایلهای زیر :
- فایل kon.php/1tes.php : این فایل کارش اینکه یه وب شل بنام marijuana shell رو از یه مسیری shell[.]prinsh[.]com دانلود و در مموری اجرا میکنه.
- فایل b.php : یه آپلودر ساده فایل
- فایل admin.php : یه بکدور که با پسورد محافظت میشه.
موج اول حملات در نوامبر و موج دوم در 14 دسامبر بوده.
آی پی 103.138.108.15 یکی از منابع اصلی هک بوده که 19,604 تلاش برای اکسپلویت 10,936 سایت انجام داده.
آی پی 188.66.0.135 هم با 1,220 تلاش برای اکسپلویت 928 سایت ، دومین آی پی پرکاربرد در حملات بوده.