/https://www.html.it/app/uploads/2023/04/wordpress-stock-6.jpg "WordPress: WooCommerce attaccato tramite WooCommerce Payments")
Soltanto nel corso degli ultimi giorni sarebbero stati osservati più di un milione di tentativi di attacco nei confronti di siti Web che presentano un'installazione di WooCommerce. Il più noto e utilizzato plugin per la realizzazione di siti di commercio elettronico con il CMS Open Source WordPress.
Una vulnerabilità in WooCommerce Payments
A lanciare l'allarme sono stati i ricercatori di Wordfence, società specializzata in soluzioni per la sicurezza di WordPress. Secondo questi ultimi, l'azione malevola avrebbe avuto inizio venerdì 14 luglio 2023. Sarebbe poi proseguita nel corso del weekend coinvolgendo circa 157 mila istanze della piattaforma. Il giorno peggiore per i siti Web interessati sarebbe stato il 16 luglio con 1.3 milioni di attacchi.
A livello tecnico l'attacco si sarebbe basato su una vulnerabilità la cui gravità è riassunta nel bollettino CVE-2023-28121 dove si parla di un problema a carico dell'estensione WooCommerce Payments. Essa riguarderebbe la versione 5.6.1 o precedente del plugin che permette di processare pagamenti operati con carte di debito, carte di credito, Google Pay e Apple Pay. WooCommerce Payments è oggi disponibile in 36 paesi (tra cui l'Italia) e supporta oltre un centinaio di valute. Le installazioni registrate sarebbero invece più di 600 mila.
I rischi per i siti Web
La problematica rilevata è stata valutata come critica. Essa consente ad un attaccante non autenticato di inviare richieste accedendo da remoto alle funzionalità di un utente con privilegi elevati. Come per esempio un amministratore di WordPress.
La soluzione migliore è naturalmente quella di aggiornare il plugin ad una release più recente della 5.6.1. L'ultima disponibile, risalente al 29 giugno 2023, è la 6.1.1 ma la prima versione sicura (almeno contro la vulnerabilità citata in precedenza) è la 5.6.2 del 23 marzo 2023.
Secondo gli esperti di Wordfence, la dinamica degli attacchi apparirebbe molto più sofisticata rispetto ad episodi simili del passato. La sua esecuzione risulterebbe comunque abbastanza semplice.
Essa si baserebbe infatti sull'aggiunta dell'intestazione:
X-Wcpay-Platform-Checkout-User: 1Fatto questo verrebbero acquisiti i privilegi di admin e sarebbe possibile installare l'estensione WP Console con cui lanciare un malware con funzionalità di backdoor. Un sito attaccato risulterebbe vulnerabile anche dopo l'aggiornamento di WooCommerce Payments.
/https://www.html.it/app/uploads/2024/03/WordPress.png)
/https://www.html.it/app/uploads/2024/03/domestika.jpg)
/https://www.html.it/app/uploads/2023/12/wordpress.png)
/https://www.html.it/app/uploads/2024/02/WP65.jpg)