Site-urile care utilizează versiunea Fancy Product Designer sunt susceptibile la atacuri de executare de cod de la distanță, chiar dacă pluginul este dezactivat

Un grup de infractori cibernetici au exploatat în mod activ o vulnerabilitate zero day în Fancy Product Designer, un plugin WordPress utilizat de peste 17.000 de site-uri web, potrivit unei  postări de blog a Defiant, care face pluginuri de securitate Wordfence pentru platforma de web publishing.

Atacatorii au fost observați exploatând vulnerabilitatea zero day pentru a livra programe malware pe site-urile ce aveau pluginul instalat. Există dovezi care indică faptul că lacuna de securitate, care poate fi utilizată în mod abuziv pentru preluarea completă a controlului asupra site-ului web, a fost exploatată încă din 30 ianuarie 2021.

Pluginul le permite utilizatorilor să personalizeze orice tip de produse, de la articole de îmbrăcăminte la accesorii și articole de uz casnic, încărcând propriile imagini sau fișiere PDF. Este folosit de o varietate de platforme, inclusiv WordPress, WooCommerce și Shopify.

„Din păcate, deși pluginul dispunea de câteva verificări pentru a preveni încărcarea fișierelor malițioase, acestea erau insuficiente și puteau fi ușor eschivate, permițându-le atacatorilor să încarce fișiere PHP executabile pe orice site ce avea pluginul instalat. Acest lucru a făcut posibil ca orice atacator să poată realiza executarea codului de la distanță pe un site afectat, facilitând, astfel, deturnarea completă a site-ului”, a avertizat Ram Gall, QA Engineer la Wordfence.

Un articol pe aceeași temă: Vulnerabilities, exploits and patches

Pe baza analizei lui Defiant, majoritatea atacurilor par să provină de la trei adrese IP specifice. Atacatorii vizează site-urile de comerț electronic cu scopul de a pune mâna pe informațiile de comandă din bazele de date ale furnizorului. Datele care ar putea fi extrase din aceste comenzi pot include informații de identificare personală ale clienților. Acest lucru ar putea aduce probleme pentru operatorii de site-uri web, deoarece îi expun pericolului de  a încalca regulile de conformitate PCI-DSS (Payment Card Industry Data Security Standard).

Conform Ghidului PCI, penalitățile pentru nerespectarea normelor în vigoare ar putea aduce pagube între $5.000 de până la 100.000 $ pe lună. Merită menționat, de asemenea, că, dacă site-ul web gestionează datele ale unor cetățeni UE și informațiile acestora sunt expuse, companiile ar urma să aplice Regulamentul general de protecție a datelor (GDPR) al Uniunii Europene, care ar putea aduce amenzi și mai usturătoare.

Potrivit raportului, dacă un atac se încheie cu succes, vor apărea mai multe fișiere fie în subfolderul wp-admin, fie în wp-content/plugins, cu un payload inițial livrat, care este apoi utilizat pentru a extrage programe malware suplimentare de pe un alt site web.

Echipa Wordfence notificat dezvoltatorul pluginului despre această vulnerabilitate în 31 mai, primind un răspuns în termen de 24 de ore. O versiune corectată, Fancy Product Designer 4.6.9, a fost lansat pe 2 iunie . Administratorii site-urilor care rulează pluginul în cauză sunt sfătuiți să facă o actualizare imediat, deoarece într-o anumită configurație specifică, vulnerabilitatea ar putea fi exploatată chiar dacă pluginul în sine este dezactivat.