Los ciberdelincuentes aprovechan la falla del complemento de pagos de WooCommerce para secuestrar sitios web


18 de julio de 2023THNSeguridad/vulnerabilidad del servidor

Los actores de amenazas están explotando activamente una falla de seguridad crítica revelada recientemente en el complemento de WordPress de WooCommerce Payments como parte de una campaña dirigida masiva.

La falla, rastreada como CVE-2023-28121 (puntaje CVSS: 9.8), es un caso de omisión de autenticación que permite a los atacantes no autenticados hacerse pasar por usuarios arbitrarios y realizar algunas acciones como el usuario suplantado, incluido un administrador, lo que podría conducir a la toma de control del sitio.

“Los ataques a gran escala contra la vulnerabilidad, asignada CVE-2023-28121, comenzaron el jueves 14 de julio de 2023 y continuaron durante el fin de semana, alcanzando un máximo de 1,3 millones de ataques contra 157 000 sitios el sábado 16 de julio de 2023”, dijo el investigador de seguridad de Wordfence. agalla de carnero dicho en una publicación del lunes.

Las versiones 4.8.0 a 5.6.1 de WooCommerce Payments son vulnerables. El complemento está instalado en más de 600.000 sitios. WooCommerce lanzó parches para el error en marzo de 2023, y WordPress emitió actualizaciones automáticas a los sitios que usaban versiones afectadas del software.

Un denominador común observado en los ataques es el uso de la Encabezado de solicitud HTTP “X-Wcpay-Platform-Checkout-User: 1” que hace que los sitios susceptibles traten cualquier carga útil adicional como proveniente de un usuario administrativo.

Wordfence dijo que la laguna antes mencionada se está armando para implementar el complemento WP Console, que puede ser utilizado por un administrador para ejecutar código malicioso e instalar un cargador de archivos para configurar la persistencia y la puerta trasera del sitio comprometido.

Defectos de Adobe ColdFusion explotados en la naturaleza

La divulgación se produce cuando Rapid7 informó que observó una explotación activa de las fallas de Adobe ColdFusion en múltiples entornos de clientes a partir del 13 de julio de 2023 para implementar shells web en puntos finales infectados.

“Los actores de amenazas parecen estar explotando CVE-2023-29298 junto con una vulnerabilidad secundaria”, dijo Caitlin Condon, investigadora de seguridad de Rapid7. dicho. La falla adicional parece ser CVE-2023-38203 (puntuación CVSS: 9.8), una falla de deserialización que se solucionó en un actualización fuera de banda lanzado el 14 de julio.

PRÓXIMO SEMINARIO WEB

Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS

¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.

Únete hoy

CVE-2023-29298 (puntuación CVSS: 7,5) preocupaciones una vulnerabilidad de omisión de control de acceso impactando ColdFusion 2023, ColdFusion 2021 Actualización 6 y anteriores, y ColdFusion 2018 Actualización 16 y anteriores.

“La vulnerabilidad permite que un atacante acceda a los puntos finales de administración al insertar un carácter de barra diagonal adicional inesperado en la URL solicitada”, reveló Rapid7 la semana pasada.

Rapid7, sin embargo, advirtió que la solución para CVE-2023-29298 está incompleta y que podría modificarse trivialmente para evitar los parches lanzados por Adobe.

Se recomienda a los usuarios que actualicen a la última versión de Adobe ColdFusion para protegerse contra posibles amenazas, ya que las correcciones implementadas para resolver CVE-2023-38203 rompen la cadena de explotación.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57