Punti chiave
I siti di e-commerce basati su WordPress sono sotto attacco da parte di un gruppo di hacker che sfrutta una vulnerabilità in un plugin dedicato ai carrelli abbandonati.
Gli hacker puntano a siti WordPress che utilizzano “Abandoned Cart Lite for WooCommerce”, un plug-in installato su oltre 20.000 siti, secondo il repository ufficiale dei plugin di WordPress.
COME FUNZIONA LA VULNERABILITÀ
Questo attacco è uno di quei rari casi in cui una vulnerabilità di tipo cross-site scripting (XSS) abbastanza banale e solitamente innocua può effettivamente portare a hack gravi.
Il plug-in, come suggerisce il nome, consente agli amministratori del sito di visualizzare i carrelli della spesa abbandonati, che si generano quando un utente carica dei prodotti ma non completa l’acquisto.
Questi elenchi di carrelli abbandonati sono accessibili solo nel backend del sito WordPress e in genere solo per gli amministratori o altri utenti con account con privilegi elevati.
COME GLI HACKER STANNO SFRUTTANDO IL BUG
Secondo una analisi del ricercatore di sicurezza Defiant Mikey Veenstra, gli hacker hanno iniziato a generare carrelli abbandonati che contengono prodotti con nomi appositamente calcolati.
I pirati aggiungono il codice malevolo in uno dei campi del carrello, quindi lasciano il sito, un’azione che porta all’archiviazione del codice compromesso nel database del negozio, proprio in virtù del plugin.
Quando un amministratore accede al back-end del negozio per visualizzare un elenco di carrelli abbandonati, il codice degli hacker viene eseguito non appena una particolare pagina di back-end viene caricata sullo schermo dell’utente.
Il codice è scritto in JavaScript e installa due virus backdoor diversi sui siti che eseguono il plugin vulnerabile.
La prima backdoor prende la forma di un nuovo account amministratore creato dagli hacker sul sito. Questo nuovo utente amministratore è denominato “woouser”, e registrato con l’indirizzo email “[email protected]” e utilizza una password di “K1YPRka7b0av1B”.
La seconda backdoor è molto intelligente, e sfrutta una tecnica che è stata vista raramente. Il codice dannoso cerca tutti i plug-in del sito e individua il primo che è stato disabilitato dall’amministratore del sito.
Gli hacker non lo riattivano, ma sostituiscono il contenuto del suo file principale con uno script dannoso che funge da backdoor per l’accesso futuro.
Il plugin rimarrà disattivato, ma poiché i suoi file sono ancora sul disco e raggiungibili dalle richieste web, gli hacker possono inviare istruzioni dannose a questa seconda backdoor nel caso in cui i proprietari dei siti rimuovano l’account “woouser”.