XSS - уязвимость в плагине для WordPress

Дата добавления: 20.03.2019 09:33:25

XSS - уязвимость в плагине для WordPress

Эксперты компании Defiant предупреждают, что злоумышленники эксплуатируют XSS-уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов. Данный плагин позволяет администраторам и другим привилегированным пользователям просматривать «забытые» покупателями товары, в случаях, когда пользователь сложил товары в корзину, но не завершил покупку и по каким-то причинам покинул ресурс. Собранные таким образом данные, к примеру, могут быть использованы для формирования списка популярных товаров и другой аналитики.

XSS-уязвимость, которую используют преступники, позволяет положить в корзину товар с вредоносным, специально созданным названием. После этого эксплоит атакующих сохранится в БД магазина и сработает, как только на бэкэнде просмотрят эту страницу. В итоге эксплоит обратится к короткому адресу bit.ly и загрузит на уязвимый сайт JavaScript, который заразит ресурс двумя разными бэкдорами.

Первый бэкдор создает нового пользователя woouser с правами администратора, тот всегда зарегистрирован с использованием почты woouser401a@mailinator.com, а его пароль «K1YPRka7b0av1B». Второй бэкдор действует более изящно: он составляет список всех плагинов сайта и ищет среди них первый, отключенный настоящим администратором. Хакеры не включают этот плагин повторно, но подменяют его содержимое вредоносным скриптом. Хотя плагин остается отключенным, его файлы по-прежнему хранятся на диске, а значит, доступны для запросов, и второй бэкдор злоумышленников может быть задействован, например, если жертва обнаружит заражение и удалит учетную запись woouser.

По данным исследователей, к настоящему моменту к короткому адресу bit.ly обращались уже более 5200 раз, то есть, скорее всего, от данных атак пострадали уже сотни или даже тысяч сайтов.