Defiant kompaniyasining mutaxassislari 20 000 saytga oʻrnatilgan Abandoned Cart Lite for WooCommerce plagindagi XSSning zaifliklari kiberjinoyatchilar tomonidan foydalanishlari haqida ogohlantirishmoqda. Ushbu plagin administratorlarga va boshqa imtiyozga ega foydalanuvchilarga xaridorlarning “yodidan chiqqan” mahsulotni, sotib olishga ulgurmagan va boshqa sababdan uni tashlab qoʻygan boʻlsa, xaridorlarning “yodidan chiqqan” mahsulotlarini koʻrishga imkon beradi. Xuddi shu tarzda toʻplangan maʼlumotlar, ommabop mahsulotlar va boshqa tahliliy roʻyxatni shakllantirish uchun ishlatishi mumkin.
Kiberjinoyatchilar tomonidan foydalanayotgan XSSning zaifligi maxsus zararlangan nom bilan yaratilgan tovarni savatchaga joylashtirish imkonini beradi. Shundan soʻng, tajovuzkor kiritgan eksploit maʼlumotlar bazasida saqlanadi va u boshqaruv panelida ochilishi bilan harakatga keladi. Natijada, eksploit bit.ly qisqa manziliga murojaat qiladi va saytga JavaScript yuklab, uni ikki turdagi “bekdor” bilan zararlaydi.
Birinchi “bekdor” administrator huquqiga ega boʻlgan yangi “woouser” nomli foydalanuvchisini yaratadi. u doim pochta woouser401a@mailinator.com elektron pochtasidan foydalanadi va uning paroli “K1YPRka7b0av1B” dir. Ikkinchi “bekdor” yanada yaxshiroq ishlaydi: u barcha sayt plaginlarning roʻyxatini tuzadi va ular orasida haqiqiy administrator tomonidan oʻchirib qoʻyilgan plaginni izlaydi. Xakerlar ushbu plaginni qayta ishlatmaydilar, ammo uning tarkibini zararli skript bilan alishtiradilar.
Lekin plagin oʻchiq xolda boʻlsa xam, uning fayllari avvalgidek diskda saqlanadi, demak, soʻrovlar uchun foydalanish mumkin va kiberjinoyatchining ikkinchi “bekdori” ishlashi mumkin. Masalan, agar jabrlanuvchi zararlanishni aniqlasa va woouser foydalanuvchisini oʻchirsa xam kiberjinoyatchi tomonidan almashtirib qoʻyilgan plagin papkasidagi zararli kodni ishlatilishi mumkin. Tadqiqotchilarning fikriga koʻra, bugungi kunga kelib, 5,200 dan ortiq bit.ly qisqa manziliga murojaat qilingan, yaʼni yuzlab va hatto minglab saytlar bu kabi hujumlardan zarar koʻrishgan.
Yuqoridagi grafikda ko'rib chiqilganidek, hujumlarning avj olgan vaqti 2019 yilning fevral oyi o'rtalarida bo'lgan bo'lsa-da, hujumlar hali ham davom etmoqda. Shuni ta'kidlash kerakki, 18 fevral kuni WooCommerce uchun Abandoned Cart Lite for WooCommerce ishlab chiqaruvchilari yangilangan 5.2.0 versiyasini chiqazdi, bu erda XSS xavfsizlik kamomadi o'rnatildi. Bevosita ekspertlar administratorlarga plaginlarni o'z vaqtida yangilash zarurligini hamda saytda shubhali yangi foydalanuvchilarning paydo bo'lishini tekshirishni eslatadi.