우커머스의 버려진 장바구니 플러그인 남용 – 즉시 업데이트

WordPress 기반 사이트는 woocommerce-abandoned-cart 플러그인의 XSS 취약점을 악용하여 백도어를 설치하고 취약한 사이트를 인수하는 해커의 공격을 받고 있습니다.

woocommerce-abandoned-cart 플러그인을 사용하면 WooCommerce 사이트 소유자가 버려진 장바구니를 추적하여 판매를 복구할 수 있습니다.

게스트 사용자 입력 및 출력에 대한 위생 부족으로 인해 공격자는 악성 JavaScript를 많은 데이터 필드에 삽입할 수 있으며, 이는 관리자 권한이 있는 로그인한 사용자가 버려진 카트 목록을 볼 때 실행됩니다.

현재 woocommerce-abandoned-cart 또는 woocommerce-abandoned-cart-pro를 사용하는 WordPress 사이트는 즉시 사용 가능한 최신 버전으로 업데이트하는 것이 좋습니다. Astra WAF를 사용하는 WordPress 사이트는 방화벽에 내장된 XSS 보호 기능으로 인해 이러한 공격으로부터 보호됩니다.

Astra가 설치되지 않은 영향을 받는 사용자는 WordPress 사이트의 무결성을 확인하기 위해 사이트 보안 감사를 고려하는 것이 좋습니다.

포기된 장바구니 플러그인 WordPress의 XSS 취약성 세부정보

인증되지 않은 사용자가 장바구니에 제품을 추가하고 결제로 이동하면 woocommerce-abandoned-cart 의 게스트 입력이 사용됩니다.

save_data AJAX 작업은 게스트가 입력한 데이터를 다시 플러그인으로 보냅니다. 어떤 이유로든 체크아웃 프로세스가 완료되지 않은 경우 플러그인을 통해 상점 소유자가 대시보드 내에서 알림을 받게 됩니다.

이러한 AJAX 요청의 입력 삭제($_POST 필드)는 이를 처리하는 함수에 의해 수행되지 않습니다. billing_first_name , billing_last_name 및 billing_company 사용자로부터 받은 대로 직접 저장되는 일부 구매자 데이터 필드입니다. 이 요청의 데이터는 데이터베이스에 저장되고 관리자는 WordPress 대시보드에서 액세스할 수 있습니다. 고객 정보, 개별 장바구니, 주문 총액 및 이러한 정보는 대시보드에서 관리자가 볼 수 있습니다.

관리자 브라우저에서 이 데이터를 렌더링하는 동안에는 출력 삭제가 수행되지 않습니다. "고객" 필드는 billing_first_name 및 billing_last_name 출력 테이블의 필드에서 이 흐름을 악용하는 해커의 대상입니다.

WordPress 관리자 패널 버려진 장바구니 플러그인으로 인해 손상되었습니까? 채팅 위젯에 메시지를 남겨주시면 문제를 해결하는 데 도움을 드리겠습니다. 지금 WordPress 웹사이트를 수정하세요.

해커가 버려진 장바구니 플러그인의 이 취약점을 악용하는 방법

해커들은 이름이 잘못된 제품으로 가득 찬 장바구니를 만들기 위해 WordPress WooCommerce를 기반으로 하는 상점을 공격하고 있습니다.

카트 필드에 익스플로잇 코드를 삽입한 후 사이트를 떠나면 상점 데이터베이스에 삽입된 익스플로잇 코드가 저장됩니다.

해커가 삽입한 이 익스플로잇 코드는 관리자가 버려진 장바구니 목록을 보기 위해 액세스할 때 해당 백엔드 페이지가 로드되는 즉시 실행됩니다.

Wordfence에서 발견한 공격에서 bit.ly 링크는 익스플로잇 코드에 의해 JavaScript 파일을 로드하는 데 사용되었습니다. 취약한 플러그인이 활성화된 사이트에서 코드는 두 개의 고유한 백도어를 만들려고 했습니다.

첫 번째 백도어는 해커가 만든 새 관리자 계정이며 사용자 이름이 "woouser"입니다. 그리고 다소 영리한 기술의 두 번째 백도어인 Mailinator에서 호스팅되는 이메일 주소입니다. 웹사이트에 설치된 모든 플러그인을 나열하고 비활성화된 첫 번째 플러그인을 검색합니다. 플러그인을 다시 활성화하는 대신 기본 파일의 내용이 해커에게 향후 추가 액세스 권한을 제공하는 스크립트로 대체됩니다. .

비활성화된 플러그인의 파일이 디스크에 남아 있고 웹 요청으로 액세스할 수 있는 한 "woouser" 계정이 제거되더라도 공격자는 이 백도어로 악의적인 명령을 보낼 수 있습니다.

영향:

이 결함의 영향은 SEO 스팸 사이트를 사용하는 것부터 해커가 카드 스키머를 심는 것까지 다양합니다.

포기된 장바구니 플러그인 악용 수정

2019년 2월 18일에 출시된 WooCommerce용 Abandoned Cart Lite 버전 5.2.0은 이 익스플로잇에서 해커가 사용하는 XSS 공격 벡터를 처리하는 수정 사항을 확인했습니다.

사이트에서 이 WordPress 플러그인을 사용하는 모든 상점 소유자는 제어판의 관리자 계정 목록에서 의심스러운 항목이 있는지 확인하고 사이트를 최신 상태로 유지하는 것이 좋습니다. 해커가 "woouser"에서 다른 이름으로 이름을 변경했을 가능성이 있습니다.

이 패치는 두 번째 백도어 또는 삽입된 기존 스크립트를 처리하지 않기 때문에 이 결함에 대한 완전한 솔루션이 아닙니다. 따라서 woocommerce-abandoned-cart 또는 woocommerce-abandoned-cart-pro 데이터베이스에 스크립트 삽입이 있는지 확인하는 것입니다. 검토할 테이블의 이름은 다를 수 있지만 ac_guest_abandoned_cart_history이라는 테이블은 게스트 구매자 데이터를 찾을 수 있는 곳입니다. 또한 승인되지 않은 모든 관리자 계정은 정리의 일부로 제거되어야 합니다.

WordPress 관리자 패널 버려진 장바구니 플러그인으로 인해 손상되었습니까? 채팅 위젯에 메시지를 남겨주시면 문제를 해결하는 데 도움을 드리겠습니다. 지금 WordPress 웹사이트를 수정하세요.