Se han detectado ataques contra webs que utilizan versiones sin actualizar del plugin para WordPress Abandoned Cart para WooCommerce, utilizado para ayudar a los administradores web a analizar y recuperar ventas cuando los compradores abandonan la cesta de la compra.
Según una entrada de blog, escrita por Mikey Veenstra de la empresa de firewall para WordPress Defiant (anteriormente Wordfence), el ataque del tipo cross-site scripting (XSS) se aprovecha de una vulnerabilidad de la versión 5.1.3.
Tanto la versión de pago como la gratuita se ven afectadas. La vulnerabilidad instala dos puertas traseras que comprometen la página web, la segunda realiza un backup de sí misma para el caso en el que el administrador detecte y desactive la primera.
Para realizar el ataque se crea un carro que contiene información de contacto falsa para abandonarlo a continuación. Cuando el administrador ve los datos que contienen esos campos, un fallo en la verificación de la salida hace que los campos nombre_factura y apellido_factura se conviertan en un único campo de cliente que forma un payload inyectado en Javascript.
Este payload utiliza la sesión de administrador para implementar las puertas traseras, comenzando por crear una cuenta de administrador falsa, utilizando un iframe oculto que activa la creación de una nueva cuenta y enviando en caso de éxito una notificación mediante una conexión de comando y control al atacante.
La segunda puerta trasera se añade abriendo otro iframe en el menú de plugins, el cual escanea en busca de cualquiera enlace “activar” que indique que están inactivos. Esto se inyecta con un script PHP de puerta trasera y permanece inactivo hasta que los atacantes deciden activarlo.
¿Cuántas webs han sido atacadas?
En una entrevista con ZDNet, Veenstra dijo que Defiant había detectado 5.251 accesos a un enlace bit.ly asociado con los ataques.
Eso hace que sea complicado acertar el numero, ya que puede variar entre unos cientos y varios miles de las más de 20.000 veces que se descargó el plugin.
Saber cuántos ataques han tenido éxito se complica aún más ya que Defiant, solo los detecta cuando los repele utilizando el Wordfence firewall. Lo mismo ocurre con el objetivo del atacante al realizar esos ataques, el cual no ha podido ser determinado por el momento.
¿Qué hacer?
La vulnerabilidad se solucionó el 18 de febrero con la versión 5.2.0. Cualquiera que utilice ese plugin debe actualizar inmediatamente a esa versión, o cualquier otra posterior.
Sin embargo, según Defiant, esto no soluciona la puerta trasera secundaria que afecta al plugin inactivo. La recomendación de la empresa es que se escanee todas las bases de datos en busca de posibles inyecciones y, una vez completada la búsqueda, comprobar también que no existe ninguna cuenta de administrador no autorizada.
Como en otros incidentes con plugins/WordPress, mantener la actualizaciones al día siempre es importante.
Un informe reciente de Securi afirma que el mayor problema para la mayoría de los CMS son los plugins, temas y extensiones, que tienden a ser instalados y no ser actualizados lo suficiente.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: