انتشار شده در تاریخ 1402/04/27 - 11:14

سو استفاده مجرمان سایبری از نقص افزونه پرداخت ووکامرس

عوامل تهدید فعالانه از یک نقص امنیتی مهم اخیرا فاش شده در افزونه پرداختی وردپرس ووکامرس (WooCommerce Payments WordPress) به عنوان بخشی از یک کمپین هدفمند گسترده استفاده می کنند.

به گزارش کارگروه امنیت خبرگزاری سایبربان، این آسیب پذیری که به‌عنوان CVE-2023-28121 ردیابی می‌شود (امتیاز CVSS: 9.8)، یک مورد دور زدن احراز هویت است که به مهاجمان احراز هویت نشده امکان می‌دهد هویت کاربران را جعل کنند و برخی از اقدامات را به عنوان کاربر جعل هویت شده، از جمله مدیر، انجام دهند، که به طور بالقوه منجر به تصاحب سایت خواهد شد.

رام گال، محقق امنیتی ووردفنس (Wordfence)، در یک پست در روز دوشنبه گفته است:

حملات در مقیاس بزرگ علیه این آسیب پذیری به نام CVE-2023-28121، از روز پنجشنبه، 14 ژوئیه 2023 آغاز شده و تا آخر هفته ادامه یافته و در روز شنبه، 16 جولای، 2023، به 1.3 میلیون حمله علیه 157 هزار سایت رسیده است.

نسخه های 4.8.0 تا 5.6.1 پرداخت های ووکامرس آسیب پذیر هستند.

این افزونه در بیش از 600 هزار سایت نصب شده است.

وصله‌های مربوط به این باگ توسط ووکامرس در مارس 2023 منتشر شده و وردپرس با استفاده از نسخه‌های آسیب‌دیده نرم‌افزار، به‌روزرسانی‌های خودکار را برای سایت‌ها صادر کرده است.

یک مخرج مشترک مشاهده شده در حملات، استفاده از هدر درخواست HTTP "X-Wcpay-Platform-Checkout-User: 1" است که باعث می شود سایت های حساس هرگونه بار اضافی را به عنوان یک کاربر مدیریتی در نظر بگیرند.

ووردفنس می گوید که حفره فوق الذکر برای استقرار پلاگین WP Console استفاده می شود، که می تواند توسط یک مدیر برای اجرای کدهای مخرب و نصب یک آپلود کننده فایل برای تنظیم پایداری و درپشتی سایت در معرض خطر استفاده شود.

سواستفاده از نقص های آدوب کولدفیوژن (Adobe ColdFusion)

این افشاگری زمانی منتشر شده است که رپید7 (Rapid7) گزارش داد که از 13 ژوئیه 2023، بهره برداری فعال از نقص های آدوب کولدفیوژن را در چندین محیط مشتری مشاهده کرده است تا پوسته های وب را در نقاط پایانی آلوده مستقر کند.

کیتلین کاندون، محقق امنیتی رپید7، می گوید:

به نظر می رسد عوامل تهدید از آسیب پذیری CVE-2023-29298 همراه با یک آسیب پذیری ثانویه سوء استفاده کرده اند. به نظر می‌رسد آسیب پذیری ثانویه، CVE-2023-38203 (امتیاز CVSS: 9.8) باشد، یک نقص سریال‌زدایی که در به‌روزرسانی خارج از باند منتشر شده در 14 جولای برطرف شده است.

آسیب پذیری CVE-2023-29298 (امتیاز CVSS: 7.5) مربوط به یک آسیب‌پذیری بای پس کنترل دسترسی است که کولدفیوژن 2023، کولدفیوژن 2021 بروزرسانی 6 و پایین‌تر، و کولدفیوژن 2018 بروزرسانی 16 و پایین‌تر را تحت تأثیر قرار می‌دهد.

رپید7 در هفته گذشته فاش کرده است که این آسیب‌پذیری به مهاجم اجازه می‌دهد تا با درج یک کاراکتر اسلش غیرمنتظره اضافی در دامنه درخواستی، به نقاط پایانی مدیریت دسترسی پیدا کند.

با این حال، رپید7 هشدار می دهد که اصلاح آسیب پذیری CVE-2023-29298 ناقص انجام شده است و می‌توان آن را به منظور دور زدن وصله‌های منتشر شده توسط آدوب (Adobe)، دستکاری کرد.

به کاربران توصیه می شود برای ایمن سازی در برابر تهدیدات احتمالی به آخرین نسخه آدوب کولدفیوژن به روز رسانی کنند، زیرا اصلاحاتی که برای حل و فصل آسیب پذیری CVE-2023-38203 ارائه شده است، زنجیره سوء استفاده را خواهد شکست.