Vulnerabilidad crítica en WooCommerce expone a millones de sitios
Una vulnerabilidad de seguridad crítica de inyección de SQL en la plataforma de comercio electrónico WooCommerce y un plugin relacionado han sido atacados como una vulnerabilidad 0-day. Esto según lo revelado por investigadores de seguridad.
La explotación llevó a WooCommerce a lanzar un parche de emergencia para el problema a última hora del miércoles. La vulnerabilidad podría permitir a los ciberatacantes no autenticados robar una gran cantidad de información de la base de datos de una tienda en línea. Un potencial robo iría desde datos de clientes e información de tarjetas de pago hasta credenciales de empleados.
WooCommerce es una popular plataforma de comercio electrónico de código abierto para sitios web que se ejecutan en WordPress. La plataforma está instalada en más de 5 millones de sitios web en todo el mundo. Permite a los comerciantes en línea crear mostradores con varias opciones personalizables. Por ejemplo, tipos de pago aceptados, funciones de envío, cálculos de impuestos sobre las ventas, etc.
Plugin afectado
El plugin relacionado afectado por la vulnerabilidad es la función WooCommerce Blocks, que está instalada en más de 200,000 sitios. Este ayuda a los comerciantes a mostrar sus productos en páginas web.
La vulnerabilidad (CVE pendiente) fue reportada originalmente por el investigador de seguridad de HackerOne Thomas DeVoss (dawgyg). DeVoss dijo a través de Twitter que pudo crear un exploit de prueba de concepto funcional. Sin embargo, no revelará los detalles de la vulnerabilidad hasta que haya habido tiempo para que los comerciantes apliquen el parche.
Por lo tanto, los detalles técnicos son escasos, aparte del hecho de que permite la inyección de SQL. Una inyección de SQL es un tipo de ataque que permite que un atacante interfiera con las consultas que una aplicación realiza a una base de datos. Por lo general, esto se lleva a cabo insertando sentencias SQL maliciosas en un campo de entrada para su ejecución.
Explotación en el entorno
El alcance de la explotación en el entorno sigue sin estar claro.
“Nuestra investigación sobre esta vulnerabilidad y si los datos se han visto comprometidos está en curso. Compartiremos más información con los propietarios del sitio sobre cómo investigar esta vulnerabilidad de seguridad en su sitio… Si una tienda se vio afectada, la información expuesta será específica de lo que ese sitio está almacenando. No obstante, podría incluir información administrativa, del cliente y del pedido.”
Beau Lebens, jefe de ingeniería de WooCommerce en el aviso de seguridad.
Según los investigadores de Wordfence, hay “pruebas extremadamente limitadas de intentos [de explotación] y es probable que esos intentos fueran muy selectivos”.
Dicho esto, un usuario señaló en la sección de comentarios del aviso de WooCommerce que había observado una actividad inusual.
El usuario aseguró que Apenas unas horas antes del anuncio y correo electrónico, el sitio que administra vio un aumento masivo en el tráfico de la red. Esto ocurrió antes de bloquear efectivamente los inicios de sesión administrativos y ver varios mensajes extraños. Cuando ingresó por SSH al entorno en vivo, la consola le informó que hubo 4 intentos fallidos de inicio de sesión desde su último inicio de sesión. Por lo que pudo ver, no hubo daño aparente y los inicios de sesión fallidos tenían su IP prohibida. El incidente parece demasiado casual.
Análisis de un potencial ataque
Para realizar un análisis forense y determinar si un sitio ha sido afectado, los investigadores de Wordfence sugirieron algunas acciones a seguir. En primer lugar, se debe hacer una revisión de los archivos de registro para ver si muestran algunas señales:
Debes buscar una gran cantidad de solicitudes repetidas a /wp-json/wc/store/products/collection-data or ?rest_route=/wc/store/products/collection-data
en tus archivos de registro, según indicaron. “Las cadenas de consulta que incluyen %2525
son un indicador de que esta vulnerabilidad puede haber sido explotada en tu sitio.
Parche
La vulnerabilidad afecta a las versiones 3.3 a 5.5 del complemento WooCommerce y al complemento WooCommerce Blocks 2.5 a 5.5. Lebens dijo que la compañía creó un parche “para cada versión afectada (más de 90 lanzamientos) que se implementó automáticamente en las tiendas vulnerables”.
Sin embargo, esa implementación automática no es instantánea, y los usuarios en la sección de comentarios del aviso informaron que no recibieron las actualizaciones a partir del jueves por la tarde. Por lo tanto, WooCommerce dijo que “instaba a todos a verificar y actualizar manualmente si es necesario por si acaso. El aviso incluye una tabla que muestra las 90 versiones parcheadas.
Los propietarios de tiendas que utilizan versiones anteriores pueden actualizar a la última versión en su sucursal aconsejaron los investigadores de Wordfence. Por ejemplo, si tu mostrador usa WooCommerce versión 5.3, puedes actualizar a la versión 5.3.1 para minimizar el riesgo de problemas de compatibilidad.
WooCommerce también recomienda restablecer las contraseñas administrativas después de la actualización para tener protección adicional.
La plataforma de código abierto no es ajena a los errores de seguridad. hace unos meses corrigió dos vulnerabilidades de secuencias de comandos entre sitios de alta gravedad. El proceso de solución requirió de tres parches para corregirlo correctamente.