Οι χάκερ εκμεταλλεύονται ένα σημαντικό ελάττωμα ασφαλείας στο ευρέως χρησιμοποιούμενο plugin Elementor Pro WordPress, το οποίο χρησιμοποιείται από περισσότερους από 11 εκατομμύρια ιστότοπους.
Το Elementor Pro είναι το κατάλληλο plugin για τη δημιουργία σελίδων για τους χρήστες του WordPress. Με τον διαισθητικό σχεδιασμό του και τη λειτουργία drag and drop, μπορείτε να δημιουργήσετε όμορφες ιστοσελίδες χωρίς καμία τεχνογνωσία κωδικοποίησης. Επιπλέον, προσφέρει μια εκτεταμένη βιβλιοθήκη θεμάτων και υποστήριξη προσαρμοσμένων widget για να προσαρμόσετε τον ιστότοπό σας ακόμη περισσότερο! Περιλαμβάνει επίσης ένα WooCommerce Builder – το τέλειο εργαλείο για τη δημιουργία ηλεκτρονικών καταστημάτων με ευκολία.
Στις 18 Μαρτίου 2023, ο Jerome Bruandet της NinTechNet αποκάλυψε ένα ελάττωμα που θα μπορούσε να αξιοποιηθεί με μια εγκατάσταση του WooCommerce. Στη συνέχεια, αυτή την εβδομάδα μοιράστηκε περισσότερες τεχνικές πληροφορίες σχετικά με το πώς θα μπορούσε κανείς να το εκμεταλλευτεί.
Αυτό το ανησυχητικό ζήτημα, το οποίο επηρεάζει την έκδοση v3.11.6 και προηγούμενες εκδόσεις του λογισμικού, επιτρέπει στους πελάτες ή τα μέλη με δικαιώματα ελέγχου ταυτότητας να προσαρμόζουν τις ρυθμίσεις του ιστότοπου – φτάνοντας μέχρι και στο σημείο να κάνουν πλήρη ανάληψη του site!
Ο ερευνητής περιέγραψε λεπτομερώς μια σοβαρή ευπάθεια που αφορά την ενότητα WooCommerce του plugin (“elementor-pro/modules/woocommerce/module.php”), η οποία επιτρέπει σε μη εξουσιοδοτημένα άτομα να τροποποιούν τις επιλογές του WordPress στη βάση δεδομένων χωρίς κανέναν έλεγχο ταυτότητας.
Η ευπάθεια εκτίθεται μέσω μιας ενέργειας AJAX–“pro_woocommerce_update_page_option”–που έχει αδύναμο input validation και δεν έχει ελέγχους δυνατοτήτων, δημιουργώντας ένα δυνητικά σοβαρό ελάττωμα ασφαλείας.
Είναι σημαντικό να σημειωθεί ότι για να αξιοποιηθεί το συγκεκριμένο ελάττωμα, πρέπει να εγκατασταθεί στον ιστότοπο και το πρόσθετο WooCommerce, το οποίο ενεργοποιεί το αντίστοιχο ευάλωτο module στο Elementor Pro.
Έγινε ενεργή εκμετάλλευση του σφάλματος του Elementor Plugin
Η εταιρεία ασφαλείας του WordPress PatchStack αναφέρει τώρα ότι οι χάκερ εκμεταλλεύονται ενεργά αυτήν την ευπάθεια του plugin Elementor Pro για να ανακατευθύνουν τους επισκέπτες σε κακόβουλα domain (“away[.]trackersline[.]com”) ή να ανεβάζουν backdoors στον ιστότοπο που έχει παραβιαστεί.
Σύμφωνα με το PatchStack, τα backdoors που εντοπίστηκαν σε αυτές τις κακόβουλες επιθέσεις ονομάζονται: wp-resortpark.zip, wp-rate.php και lll.zip αντίστοιχα.
Παρά την έλλειψη λεπτομερειών σχετικά με αυτά τα κενά ασφαλείας, το BleepingComputer κατάφερε να αποκαλύψει ένα δείγμα του αρχείου lll.zip το οποίο περιείχε ένα κακό PHP script που χρησιμοποιείται από τους επιτιθέμενους για να ανεβάζουν περισσότερα κακόβουλα αρχεία σε ευάλωτους servers.
Αυτό το backdoor θα μπορούσε να ανοίξει έναν κόσμο προβλημάτων για τον ιστότοπο του WordPress – είτε πρόκειται για κλοπή πληροφοριών είτε για φύτευση κακόβουλου κώδικα. Αν δεν αποτραπεί, ο επιτιθέμενος θα είχε πλήρη πρόσβαση σε αυτόν τον ιστότοπο και τα περιεχόμενά του.
Η PatchStack αναφέρει τρεις διευθύνσεις IP ως την κύρια πηγή επιθέσεων που στοχεύουν ευάλωτους ιστότοπους – οπότε φροντίστε να τις προσθέσετε στη λίστα αποκλεισμού σας για βέλτιστη προστασία.
- 193.169.194.63
- 193.169.195.64
- 194.135.30.6
Για όσους από εσάς που οι ιστότοποί τους χρησιμοποιούν το Elementor Pro, συνιστώ ανεπιφύλακτα την αναβάθμιση στην έκδοση 3.11.7 ή νεότερη (η 3.12.0 είναι η τρέχουσα πιο ενημερωμένη) το συντομότερο δυνατό, καθώς οι χάκερ ήδη στοχεύουν ενεργά εύαλωτες ιστοσελίδες!
Την περασμένη εβδομάδα, το WordPress ανέλαβε αποφασιστική δράση ενημερώνοντας το πρόσθετο WooCommerce Payments για ηλεκτρονικά καταστήματα για να διορθώσει ένα σημαντικό πρόβλημα ασφαλείας που επέτρεπε σε μη εξουσιοδοτημένα άτομα να αποκτήσουν απεριόριστη πρόσβαση σε ευάλωτους ιστότοπους.
Πηγή πληροφοριών: bleepingcomputer.com
