Βρέθηκε κρίσιμη ευπάθεια στην προσθήκη ηλεκτρονικού εμπορίου του WordPress που χρησιμοποιείται από περισσότερα από 30.000 ηλεκτρονικά καταστήματα

Έχει αναφερθεί ότι η προσθήκη WordPress "Abandoned Cart Lite for WooCommerce", η οποία είναι εγκατεστημένη σε περισσότερους από 30.000 ιστότοπους, έχει μια κρίσιμη ευπάθεια ασφαλείας. Σύμφωνα με μια συμβουλή από το Defiant's Wordfence, η ευπάθεια επιτρέπει στους εισβολείς να αποκτήσουν πρόσβαση στους λογαριασμούς των χρηστών που έχουν εγκαταλείψει τα καλάθια τους. Η σοβαρότητα της ευπάθειας, η οποία παρακολουθείται ως CVE-2023-2986, έχει βαθμολογηθεί με 9,8 στα 10 στο σύστημα βαθμολόγησης CVSS. Επηρεάζει όλες τις εκδόσεις της προσθήκης, συμπεριλαμβανομένων των εκδόσεων 5.14.2 και παλαιότερες.

Το ζήτημα προέρχεται από μια παράκαμψη ελέγχου ταυτότητας λόγω ανεπαρκών προστασιών κρυπτογράφησης. Όταν οι πελάτες ειδοποιούνται για τα εγκαταλειμμένα καλάθια αγορών τους σε ιστότοπους ηλεκτρονικού εμπορίου, το κλειδί κρυπτογράφησης που χρησιμοποιείται είναι κωδικοποιημένο στην προσθήκη. Αυτό επιτρέπει στους κακόβουλους παράγοντες να συνδεθούν ως χρήστης με ένα εγκαταλελειμμένο καλάθι. Ο ερευνητής ασφάλειας István Márton ανέφερε ότι υπάρχει δυνατότητα εκμετάλλευσης της ευπάθειας παράκαμψης ελέγχου ταυτότητας για να αποκτήσετε πρόσβαση σε λογαριασμό διαχειριστή ή χρήστη υψηλότερου επιπέδου.

Η ευπάθεια επιδιορθώθηκε στις αρχές Ιουνίου

Ο προγραμματιστής των προσθηκών, η Tyche Softwares, αντιμετώπισε το θέμα ευπάθειας με την έκδοση 5.15.0 στις 6 Ιουνίου 2023 και η τρέχουσα έκδοση είναι 5.15.2. Η αποκάλυψη αυτής της ευπάθειας συμπίπτει με την αποκάλυψη από το Wordfence ενός άλλου ελαττώματος παράκαμψης ελέγχου ταυτότητας στο πρόσθετο "Ημερολόγιο κρατήσεων | Κράτηση ραντεβού | BookIt" της StylemixThemes. Αυτό το ελάττωμα, που παρακολουθείται ως CVE-2023-2834 με βαθμολογία CVSS 9,8, επηρεάζει περισσότερες από 10.000 εγκαταστάσεις WordPress. Προκύπτει από ανεπαρκή επαλήθευση κατά τη διαδικασία ραντεβού κράτησης, επιτρέποντας στους μη επιβεβαιωμένους εισβολείς να συνδεθούν ως οποιοσδήποτε υπάρχων χρήστης εάν έχουν πρόσβαση στο email του χρήστη. Το ζήτημα έχει επιλυθεί στην έκδοση 2.3.8, που κυκλοφόρησε στις 13 Ιουνίου 2023, ενώ επηρεάζονται οι εκδόσεις 2.3.7 και παλαιότερες.

Γιατί τα πρόσθετα WordPress στοχεύονται συχνά από χάκερ;

Τα πρόσθετα WordPress συχνά στοχοποιούνται από χάκερ για διάφορους λόγους:

Δημοτικότητα και ευρεία χρήση: Το WordPress είναι ένα από τα πιο δημοφιλή συστήματα διαχείρισης περιεχομένου (CMS) παγκοσμίως, τροφοδοτώντας σημαντικό μέρος των ιστότοπων στο διαδίκτυο. Η εκτεταμένη χρήση του WordPress το καθιστά ελκυστικό στόχο για τους χάκερ. Δεδομένου ότι τα πρόσθετα ενισχύουν τη λειτουργικότητα των ιστότοπων WordPress, υιοθετούνται ευρέως από τους ιδιοκτήτες ιστότοπων. Οι εισβολείς γνωρίζουν ότι η στόχευση δημοφιλών προσθηκών μπορεί δυνητικά να θέσει σε κίνδυνο έναν μεγάλο αριθμό ιστότοπων.

Τρωτά σημεία και ζητήματα ασφάλειας: Όπως κάθε λογισμικό, τα πρόσθετα του WordPress μπορεί να έχουν τρωτά σημεία και αδυναμίες ασφάλειας. Αυτά τα τρωτά σημεία μπορούν να χρησιμοποιηθούν από χάκερ για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση, να εισάγουν κακόβουλο κώδικα ή να εκτελέσουν άλλες κακόβουλες δραστηριότητες. Τα πρόσθετα μπορεί να έχουν σφάλματα κωδικοποίησης, ανεπαρκείς ελέγχους επικύρωσης ή ανεπαρκή μέτρα ασφαλείας που τα καθιστούν επιρρεπή σε επιθέσεις.

Έλλειψη ενημερώσεων και συντήρησης: Ορισμένοι ιδιοκτήτες ιστότοπων μπορεί να παραμελούν να διατηρούν ενημερωμένα τα πρόσθετα WordPress τους ή να μην τα συντηρούν σωστά. Τα ξεπερασμένα πρόσθετα μπορεί να έχουν γνωστά τρωτά σημεία που μπορούν να εκμεταλλευτούν οι χάκερ. Επιπλέον, οι προσθήκες που δεν διατηρούνται ή δεν υποστηρίζονται πλέον από προγραμματιστές ενδέχεται να μην λαμβάνουν έγκαιρες ενημερώσεις κώδικα ασφαλείας, με αποτέλεσμα να είναι ευάλωτα σε επιθέσεις.

Προγραμματιστές προσθηκών τρίτων: Οι προσθήκες WordPress αναπτύσσονται συχνά από τρίτους προγραμματιστές που μπορεί να έχουν διαφορετικά επίπεδα τεχνογνωσίας σε θέματα ασφάλειας. Ενώ πολλοί προγραμματιστές δίνουν προτεραιότητα στην ασφάλεια, άλλοι μπορεί να μην έχουν τις απαραίτητες γνώσεις ή πόρους για να εφαρμόσουν ισχυρά μέτρα ασφαλείας. Οι χάκερ στοχεύουν πρόσθετα που έχουν αναπτυχθεί από προγραμματιστές που δεν έχουν επίγνωση της ασφάλειας για να εκμεταλλευτούν τις αδυναμίες στον κώδικά τους.

Backdoor Entry: Τα πρόσθετα μπορούν να χρησιμεύσουν ως κερκόπορτα σημείο εισόδου για τους εισβολείς ώστε να αποκτήσουν πρόσβαση σε έναν ιστότοπο WordPress. Παραβιάζοντας ένα πρόσθετο, οι χάκερ μπορούν να παρακάμψουν τα μέτρα ασφαλείας και να αποκτήσουν έλεγχο σε ολόκληρο τον ιστότοπο. Μόλις μπουν μέσα, μπορούν να χειραγωγήσουν περιεχόμενο, να κλέψουν ευαίσθητες πληροφορίες ή να πραγματοποιήσουν άλλες κακόβουλες δραστηριότητες.

Για να μετριαστεί ο κίνδυνος που σχετίζεται με τα πρόσθετα WordPress, είναι σημαντικό για τους ιδιοκτήτες ιστότοπων να ακολουθούν βέλτιστες πρακτικές όπως:

• Ενημερώνετε τακτικά τις προσθήκες στις πιο πρόσφατες εκδόσεις που περιλαμβάνουν ενημερώσεις κώδικα ασφαλείας.
• Επιλέξτε προσθήκες από αξιόπιστες πηγές και προγραμματιστές με ιστορικό παροχής τακτικών ενημερώσεων και υποστήριξης.
• Καταργήστε ή απενεργοποιήστε τα αχρησιμοποίητα πρόσθετα για να ελαχιστοποιήσετε την επιφάνεια επίθεσης.
• Χρησιμοποιήστε ένα αξιόπιστο πρόσθετο ασφαλείας που μπορεί να εντοπίσει και να προστατεύσει από πιθανές απειλές.
• Να παρακολουθείτε τακτικά την ασφάλεια του ιστότοπου και να εφαρμόζετε πρόσθετα μέτρα ασφαλείας, όπως ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας δύο παραγόντων.

Λαμβάνοντας αυτές τις προφυλάξεις, οι ιδιοκτήτες ιστότοπων μπορούν να μειώσουν την πιθανότητα να πέσουν θύματα επιθέσεων που στοχεύουν τα πρόσθετα WordPress.