Los actores de amenazas han comenzado a piratear sitios web de WordPress al explotar una vulnerabilidad crítica en el complemento de pagos de WooCommerce.

El complemento es una solución de pago totalmente integrada desarrollada por Automattic y tiene más de 600 000 instalaciones activas, según los datos de seguimiento de WordPress.

La vulnerabilidad explotada se rastrea como CVE-2023-28121 (puntaje CVSS 9.8) y se parcheó en la versión 5.6.2 del complemento el 23 de marzo. Permite que un atacante no autenticado comprometa la cuenta de un administrador y tome el control total de un sitio web vulnerable.

Si bien no hubo indicios cuando se lanzó el parche de que el error realmente estaba siendo explotado, ataques maliciosos Como informa Defiant, la empresa de seguridad de WordPress, las versiones sin parches del complemento WooCommerce Payments han sido atacadas específicamente durante la última semana.

“Los ataques a gran escala contra la vulnerabilidad asignada CVE-2023-28121 comenzaron el jueves 14 de julio de 2023 y continuaron durante el fin de semana. El sábado 16 de julio de 2023 alcanzaron su punto máximo con 1,3 millones de ataques contra 157 000 sitios web”, dice Defiant.

La campaña, que se enfoca en un pequeño grupo de sitios web, comenzó con un aumento en las solicitudes de enumeración de complementos en busca de un archivo específico en el directorio de complementos.

Si bien las solicitudes se distribuyeron en miles de direcciones IP, la mayoría de los ataques observados provinieron de un grupo de siete direcciones IP, señala Defiant.

Todos los exploits observados dirigidos a CVE-2023-28121 incluían un encabezado que «hace que los sitios web vulnerables traten todas las cargas útiles adicionales como si vinieran de un administrador». y ejecutar código.

«Una vez que se instala el complemento WP Console, los atacantes lo usan para ejecutar código malicioso y colocar un cargador de archivos para establecer la persistencia», dice Defiant.

Todos los sitios web que ejecutan las versiones 4.8.0 a 5.6.1 de WooCommerce Payments son vulnerables a CVE-2023-28121. Según los datos de WordPress, más del 60% de los sitios web ejecutan una versión de complemento superior a 5.9.x, por lo que no está claro cuántos sitios web son vulnerables.

Se recomienda a los administradores del sitio que actualicen sus instalaciones de WooCommerce Payments a una versión parcheada lo antes posible, especialmente como exploits en CVE-2023-28121 y detalles técnicos Las referencias a la vulnerabilidad han sido públicas durante varias semanas.

“Estos ataques son significativamente más sofisticados que los ataques similares que hemos visto en el pasado, incluido el reconocimiento antes de la ola de ataque principal y múltiples métodos para mantener la persistencia utilizando capacidades disponibles para los usuarios a nivel de administrador”, señala Defiant.

Relacionado: Complemento de seguridad popular de WordPress interceptado al registrar contraseñas de texto sin formato

Relacionado: 200,000 sitios de WordPress están siendo atacados explotando una falla en el complemento Ultimate Member

Relacionado: Vulnerabilidades críticas en el complemento de WordPress afectan a miles de sitios web