Um ataque de dia zero ocorreu a partir de uma vulnerabilidade encontrada na wishlist do plugin para lojas virtuais mais baixados do WordPress, o WooCommerce. Com mais de 70.000 instalações ativas, essa falha pode conceder ao invasor acesso administrativo total às lojas virtuais, inclusive para realizar modificações e controlar o banco de dados do WP.
O ataque de dia zero é aquele em que uma vulnerabilidade do software é exposta de forma inédita, ou seja, uma ameaça crítica descoberta por um agente malicioso que não foi mitigada ou tornada amplamente pública para a precaução de possíveis vítimas porque nenhum agente sequer percebeu que ela existe.
Esse nome foi dado em função das publicações de “dia um”, quando as correções dessas vulnerabilidades são possíveis em um primeiro momento, logo na descoberta de sua existência. O dia zero então, seria o momento em que nenhum usuário, agente de segurança ou proprietário de software foi capaz de perceber que a ameaça existe e que os hackers estão em plena atuação.
O exploit é mantido em segredo o maior tempo possível entre hackers para que as ações dos cibercriminosos sejam mais abrangentes e disruptivas.
A vulnerabilidade foi relatada aos autores do plugin no dia 13 de outubro de 2020 por dois usuários do NinjaFirewall — Arsyad e Andreas — que identificaram atividades suspeitas em sua instalação do WooCommerce. Apesar de a ameaça ter sido bloqueada pelo firewall, depois de analisar o relatório de mitigação foi possível encontrar a vulnerabilidade crítica na wishlist, pelo qual os hackers tentaram explorar.
O WooCommerce tem uma função de importação no script “ti-woocommerce-wishlist / includes / export.class.php”, que é carregado com o hook “admin_action” e não exige uma verificação de segurança, o que permite que qualquer usuário autenticado tenha acesso e modifique o conteúdo da tabela do WordPress diretamente no banco de dados.
Esse foi o caminho usado pelos hackers para habilitar o registro, definir a opção users_can_register e, em seguida, criar uma conta de administrador para mudar a opção default_role. Os agentes maliciosos também poderiam redirecionar o tráfego da loja virtual para um site malicioso externo por meio das mudanças da URL do site.
O WooCommerce lançou uma nova versão do plugin com restrição a essa ameaça potencial no dia 16 de outubro. A versão 1.21.12 está disponível e os usuários devem executar a atualização o mais rápido possível, pois a vulnerabilidade já é amplamente conhecida e ainda pode ser explorada pelos hackers em versões mais antigas da extensão.
Mais da metade das instalações ativas, cerca de 35 mil, foram atualizados para a versão 1.21, mas ainda não há estatísticas sobre a quantidade de instalações da versão mais segura do plugin. Isso indica que milhares de usuários podem estar vulneráveis a esse modo de ataque.
A wishlist do WooCommerce é uma ferramenta usada nas lojas virtuais para aumentar a comodidade dos visitantes durante as suas compras. Assim que usuário visualiza um item que deseja comprar, ele pode inclui-lo em sua lista de desejos sem que tenha que ser direcionado para outra página ou parte do site.
Existem muitas ferramentas Para a personalização da sua loja virtual. Por meio de plugins é possível adicionar funcionalidades e melhorar a experiência do usuário no seu site.
Conheça agora alguns desses plugins do WordPress nesta lista que preparamos para você!
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo no WriterAccess.
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo em WriterAccess.