به گزارش مرکز مدیرت راهبردی افتا، WooCommerce Payments یک افزونه بسیار محبوب وردپرس است که به وب‌سایت‌ها امکان می‌دهد کارت‌های اعتباری و نقدی را به عنوان پرداخت در فروشگاه‌های استفاده‌کننده از WooCommerce بپذیرند.
طبق گفته وردپرس، این افزونه در بیش از  600هزار نصب،  فعال استفاده می‌شود.
در 23 مارس 2023، توسعه‌دهندگان نسخه 5.6.2 این افزونه را برای رفع آسیب‌پذیری حیاتی با امتیاز 9.8 که با شناسه CVE-2023-28121 منتشر کردند.
این نقص نسخه 4.8.0 و بالاتر از افزونه WooCommerce Payment را تحت تأثیر قرار می‌دهد و در نسخه‌های 4.8.2، 4.9.1، 5.0.4، 5.1.3، 5.2.2، 5.3.1، 5.4.1، 5.5.2، 5.6.2 و نسخه‌های بالاتر برطرف شده است.
از آنجایی که این آسیب‌پذیری به هر کاربر راه دور اجازه می‌دهد تا هویت یک مدیر را جعل کند و کنترل کامل یک سایت وردپرس را در دست بگیرد، شرکت Automattic با استفاده از این افزونه، اصلاحات امنیتی نصب‌های وردپرس را به صورت اجباری نصب کرد.
در آن زمان، WooCommerce گفت هیچ سوءاستفاده فعال شناخته‌شده‌ای از این آسیب‌پذیری وجود ندارد، اما محققان هشدار دادند که به دلیل ماهیت بحرانی این حفره، احتمالاً در آینده شاهد سوءاستفاده از آن خواهیم بود.
نقص به طور فعال مورد بهره‌برداری قرار گرفت.
در این ماه (جولای 2023)، محققان RCE Security این نقص را تجزیه و تحلیل کردند و یک وبلاگ فنی در مورد آسیب‌پذیری CVE-2023-28121 و نحوه سوءاستفاده از آن منتشر کردند.
محققان توضیح می‌دهند که مهاجمان می‌توانند به سادگی یک هدر درخواست « X-WCPAY-PLATFORM-CHECKOUT-USER » اضافه کنند و آن را روی شناسه کاربری حسابی که می‌خواهند جعل هویت کنند تنظیم کنند.
وقتی WooCommerce Payments این هدر را می‌بیند، با درخواست به‌گونه‌ای برخورد می‌کند که گویی از شناسه کاربری مشخصی ارسال شده است که تمام دسترسی‌های کاربر را دارد.
به عنوان بخشی از پست وبلاگ، RCE Security یک سوء استفاده اثبات مفهومی (PoC exploit) را منتشر کرد که از این نقص برای ایجاد یک کاربر سطح مدیریت جدید در سایت‌های آسیب‌پذیر وردپرس استفاده می‌کند که این امر گرفتن کنترل کامل سایت را برای عوامل تهدید آسان می‌کند.
در روز 17 جولای، شرکت امنیتی وردپرس موسوم به Wordfence هشدار داد که عوامل تهدید از این آسیب‌پذیری در کمپین گسترده‌ای سوء استفاده می‌کنند که بیش از 157 هزار سایت را هدف قرار می‌دهد.
Wordfence شرح می‌دهد:”حملات در مقیاس بزرگ علیه این آسیب‌پذیری، اختصاص‌داده‌شده به CVE-2023-28121، در روز پنجشنبه، 14 جولای 2023 آغاز شد و تا آخر هفته ادامه یافت و به 1.3 میلیون حمله علیه 000/157 سایت در روز شنبه، 16 جولای 2023 رسید.”
Wordfence می‌گوید که عوامل تهدید از این اکسپلویت برای نصب افزونه WP Console یا ایجاد حساب‌های مدیریتی روی دستگاه مورد هدف استفاده می‌کنند.
برای سیستم‌هایی که WP Console بر روی آن‌ها نصب شده است، عوامل تهدید از این افزونه برای اجرای کد PHP استفاده می‌کنند که یک آپلودکننده فایل را روی سرور نصب می‌کند که می‌تواند به عنوان درب پشتی حتی پس از رفع آسیب‌پذیری استفاده شود.
Wordfence می‌گوید که مهاجمان دیگری را دیده‌اند که از این اکسپلویت برای ایجاد حساب‌های سطح مدیر با رمزهای عبور تصادفی استفاده می‌کنند.
برای اسکن سایت‌های آسیب‌پذیر وردپرس، عوامل تهدید سعی می‌کنند به فایل ‘/wp-content/plugins/woocommerce-payments/readme.txt’ دسترسی پیدا کنند و در صورت وجود، از این نقص سوء استفاده می‌کنند.
محققان هفت آدرس IP مسئول این حملات را با آدرس IP 194.169.175.93 به اشتراک گذاشته اند که تعداد 213212 سایت را اسکن می کند.
BleepingComputer فعالیت‌های مشابهی را در لاگ‌های دسترسی خود دیده‌اند که از 12 جولای آغاز شده‌اند.
با توجه به سهولت استفاده از CVE-2023-28121، اکیداً توصیه می شود که تمام سایت‌هایی که از افزونه WooCommerce Payment استفاده می کنند اطمینان حاصل کنند که نصب آن‌ها به روز است.
اگر اخیراً نصب خود را به‌روزرسانی نکرده‌اید، به مدیران سایت نیز توصیه می‌شود که سایت‌های خود را برای فایل‌های PHP غیرمعمول و حساب‌های سطح مدیریتیس مشکوک اسکن کرده و هر کدام را که پیدا می‌شود حذف کنند.