Эксперты компании Defiant предупреждают, что злоумышленники эксплуатируют XSS-уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов. Данный плагин позволяет администраторам и другим привилегированным пользователям просматривать «забытые» покупателями товары, в случаях, когда пользователь сложил товары в корзину, но не завершил покупку и по каким-то причинам покинул ресурс. Собранные таким образом данные, к примеру, могут быть использованы для формирования списка популярных товаров и другой аналитики.
XSS-уязвимость, которую используют преступники, позволяет положить в корзину товар с вредоносным, специально созданным названием. После этого эксплоит атакующих сохранится в БД магазина и сработает, как только на бэкэнде просмотрят эту страницу. В итоге эксплоит обратится к короткому адресу bit.ly и загрузит на уязвимый сайт JavaScript, который заразит ресурс двумя разными бэкдорами.
Первый бэкдор создает нового пользователя woouser с правами администратора, тот всегда зарегистрирован с использованием почты woouser401a@mailinator.com, а его пароль «K1YPRka7b0av1B». Второй бэкдор действует более изящно: он составляет список всех плагинов сайта и ищет среди них первый, отключенный настоящим администратором. Хакеры не включают этот плагин повторно, но подменяют его содержимое вредоносным скриптом. Хотя плагин остается отключенным, его файлы по-прежнему хранятся на диске, а значит, доступны для запросов, и второй бэкдор злоумышленников может быть задействован, например, если жертва обнаружит заражение и удалит учетную запись woouser.
По данным исследователей, к настоящему моменту к короткому адресу bit.ly обращались уже более 5200 раз, то есть, скорее всего, от данных атак пострадали уже сотни или даже тысяч сайтов.
Как видно на графике выше, пик атак пришелся на середину февраля 2019 года, но взломы продолжаются до сих пор. Стоит отметить, что еще 18 февраля разработчики Abandoned Cart Lite for WooCommerce выпустили обновленную версию 5.2.0, где XSS-уязвимость была исправлена. Эксперты Defiant напоминают администраторам о необходимости своевременно обновлять плагины, а также проверять, не появились ли на сайте подозрительные новые пользователи, вроде woouser.