WooCommerce Payments: gli hacker sfruttano una grave vulnerabilità del plugin WordPress

Agli hacker non sfugge mai nulla e sono sempre pronti ad approfittare delle vulnerabilità dei software. Ora tocca a WordPress, e più precisamente al plugin WooCommerce Payments, messo in ginocchio e sfruttato per accedere ai privilegi di qualsiasi utente, amministratori compresi.

WooCommerce Payments: la vulnerabilità del plugin di WordPress mette a rischio i dati degli utenti

Per chi non lo conoscesse, WooCommerce Payments è un componente aggiuntivo che consente ai siti web basati su WordPress di accettare carte di credito e di debito per i pagamenti online. Ed è diffusissimo, secondo gli ultimi dati conta oltre 600.000 installazioni attive.

Il team di sviluppo ha rilasciato a marzo di quest’anno la versione 5.6.2 del plugin per correggere la vulnerabilità (CVE-2023-28121). E visto che il bug può consentire a chiunque, da remoto, di prendere il posto dell’amministratore e quindi assumere il pieno controllo di un sito WordPress, Automattic (l’azienda sviluppatrice) ha forzato l’installazione della patch di sicurezza su tutti i siti WordPress che utilizzano il plugin.

Il team di ricercatori di RCE Security ha approfondito la questione e ha spiegato come la vulnerabilità CVE-2023-28121 possa essere sfruttata dagli hacker. In base a quanto emerso, ai pirati del web basta aggiungere la request header “X-WCPAY-PLATFORM-CHECKOUT-USER” e impostarla sull’ID utente dell’account che vogliono “impersonare”.

Il picco di attacchi solo pochi giorni fa

Poche ore fa, Wordfence – società di sicurezza – ha rivelato che gli hacker stanno effettivamente sfruttando questa vulnerabilità e che sono stati presi di mira migliaia di siti WordPress. «Gli attacchi su larga scala sfruttando la vulnerabilità, nota come CVE-2023-28121, sono iniziati giovedì 14 luglio 2023 e sono durati fino al weekend, raggiungendo un picco di 1,3 milioni di attacchi contro 156.000 siti in data 16 luglio», spiega Wordfence.

Ma se la patch di sicurezza è stata rilasciata, come è possibile che gli attacchi siano ancora in corso? Per la società di sicurezza, gli hacker sfruttano l’exploit per installare il plug-in WP Console o creare un account amministratore sul dispositivo del malcapitato. Su sistemi con WP Console, gli hacker eseguono un codice PHP per installare un uploader di file sul server che può fungere da backdoor anche dopo che la vulnerabilità è stata risolta.

Vista la facilità con cui la vulnerabilità CVE-2023-28121 può essere sfruttata, Wordfence invita tutti coloro che hanno un sito WordPress con il plugin WooCommerce Payments ad accertarsi di aver scaricato l’ultima versione disponibile del componente aggiuntivo. Inoltre, viene consigliato agli amministratori dei siti di fare un controllo approfondito per scovare insoliti file PHP e account amministratori sospetti.