האקרים מנצלים בימים אלו פגם אבטחה בתוסף WooCommerce Payments של אתרי וורדפרס כדי להשיג הרשאות משתמשים כולל הרשאות מנהלי המערכת. WooCommerce Payments הינו תוסף וורדפרס פופולרי מאד המאפשר לאתרים לקבל כרטיסי אשראי וכרטיסי חיוב כתשלום בחנויות WooCommerce. לפי וורדפרס משמש התוסף ביותר מ- 600,000 התקנות פעילות.
ב- 23 במרץ 2023 פרסמו מפתחי התוסף את גרסה 5.6.2 כדי לתקן את הפגיעות הקריטית. פגם האבטחה משפיע על תוסף WooCommerce Payment בגרסאות 4.8.0 ומעלה, כאשר הוא תוקן בגרסאות 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2 ואילך.
החודש ניתחו חוקרים ב- RCE Security את הבאג ופרסמו בלוג טכני אודות פגיעות האבטחה וכיצד ניתן לנצל אותה. החוקרים מסבירים שהאקרים יכולים פשוט להוסיף כותרת בקשה 'X-WCPAY-PLATFORM-CHECKOUT-USER' ולהגדיר אותה למזהה המשתמש של החשבון אליו הם רוצים להתחזות. כאשר WooCommerce Payments רואה את הכותרת הזו, הוא ייתיחס לבקשה כאילו היא הייתה ממזהה המשתמש שצוין, כולל כל ההרשאות של המשתמש. כחלק מהפוסט בבלוג פרסמה RCE Security ניצול הוכחת קונספט שמשתמש בפגם זה כדי ליצור משתמש מנהל חדש באתרי וורדפרס פגיעים, מה שמקל על האקרים להשתלט על האתר באופן מלא.
חברת האבטחה של וורדפרס – Wordfence, הזהירה שהאקרים מנצלים את פגיעות האבטחה הזו במסע מתקפות סייבר עצום המתמקד ביותר מ- 157,000 אתרים: "מתקפות בקנה מידה גדול בשימוש פגיעות האבטחה החלו ביום חמישי 14 ביולי 2023, המשיכו במהלך סוף השבוע והגיעו לשיא של 1.3 מיליון מתקפות סייבר נגד 157,000 אתרים ביום שבת, 16 ביולי 2023", דיווחו Wordfence והוסיפו כי האקרים משתמשים בפגיעות האבטחה כדי להתקין את הפלאגין של WP Console או ליצור חשבונות מנהל. באתרי וורדפרס בהם הותקן פלאגין WP Console, השתמשו ההאקרים בתוסף כדי להפעיל קוד PHP אשר מתקין מעלה קבצים בשרת אשר יכול לשמש כדלת אחורית גם לאחר תיקון הפגיעות. Wordfence גם דיווחו שהם ראו כיצד האקרים אחרים משתמשים בפגיעות ליצירת חשבונות מנהל עם סיסמאות אקראיות. כדי לסרוק אתרי וורדפרס פגיעים מנסים ההאקרים לגשת לקובץ '/wp-content/plugins/woocommerce-payments/readme.txt' ואם הוא קיים, הם מנצלים את הפגם.
בשל הקלות שבה ניתן לנצל את פגם האבטחה, מומלץ מאד לכל בעלי אתרי וורדפרס המשתמשים בתוסף WooCommerce Payment לוודא שההתקנות שלהם מעודכנות. כמו כן מומלץ גם שמנהלי אתרי וורדפרס יסרקו את האתרים שלהם לאיתור קבצי PHP חריגים וחשבונות מנהל חשודים וימחקו את כל אלו שנמצאו.
