Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Plugin Thanh toán WooC Commerce dành cho WordPress có lỗ hổng cấp quản trị viên – hãy vá ngay!

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 107
by Paul Ducklin

Các lỗ hổng bảo mật trong các plugin WordPress có thể cho phép người khác chọc phá trang web WordPress của bạn luôn là một tin xấu.

Ngay cả khi tất cả những gì bạn đang chạy là thiết lập cơ bản không có tài khoản khách hàng và không thu thập hay xử lý bất kỳ thông tin cá nhân nào như tên và địa chỉ email…

…chỉ cần biết rằng ai đó có thể đang can thiệp vào nội dung của bạn, quảng bá các liên kết lừa đảo hoặc xuất bản tin tức giả mạo dưới tên của bạn là đủ đáng lo ngại.

Tuy nhiên, các lỗ hổng bảo mật trong plugin mà bạn sử dụng để hỗ trợ thanh toán trực tuyến trên trang web của mình lại là một mức độ đáng lo ngại khác.

Thật không may, nền tảng thanh toán điện tử phổ biến WooC Commerce vừa người dùng được thông báo như sau:

Vào ngày 2023/03/22, một lỗ hổng đã được phát hiện trong Thanh toán WooC Commerce, nếu bị khai thác, có thể cho phép quản trị viên truy cập trái phép vào các cửa hàng bị ảnh hưởng. Chúng tôi đã ngay lập tức hủy kích hoạt các dịch vụ bị ảnh hưởng và giảm thiểu sự cố cho tất cả các trang web được lưu trữ trên WordPress.com, Pressable và [WordPress VIP].

May mắn thay, có vẻ như lỗi này đã được tìm thấy như một phần của thử nghiệm thâm nhập được chính thức phê duyệt do một nhà nghiên cứu bảo mật Thụy Sĩ thực hiện và WooC Commerce có vẻ tự tin rằng không ai khác đã tìm ra lỗ hổng trước khi chính họ phát hiện ra:

Ngay sau khi lỗ hổng được báo cáo, chúng tôi đã bắt đầu điều tra để xác định xem có bất kỳ dữ liệu nào đã bị lộ hay lỗ hổng đã bị khai thác hay chưa. Chúng tôi hiện không có bằng chứng về lỗ hổng được sử dụng bên ngoài chương trình thử nghiệm bảo mật của chúng tôi. Chúng tôi đã cung cấp bản sửa lỗi và làm việc với Nhóm plugin WordPress.org để tự động cập nhật các trang web chạy Thanh toán WooC Commerce 4.8.0 đến 5.6.1 thành các phiên bản đã vá. Bản cập nhật hiện đang được tự động tung ra cho nhiều cửa hàng nhất có thể.

Thay đổi mật khẩu hay không thay đổi?

Thật thú vị, WooC Commerce gợi ý rằng ngay cả khi những kẻ tấn công đã tìm thấy và khai thác lỗ hổng này, thông tin duy nhất về mật khẩu đăng nhập của bạn mà chúng có thể đánh cắp sẽ được gọi là băm mật khẩu muối, và vì vậy công ty đã viết rằng “không chắc là mật khẩu của bạn đã bị xâm phạm”.

Do đó, nó đưa ra lời khuyên gây tò mò rằng bạn có thể thoát khỏi mà không cần thay đổi mật khẩu quản trị viên của mình miễn là [a] bạn đang sử dụng hệ thống quản lý mật khẩu WordPress tiêu chuẩn chứ không phải một số cách xử lý mật khẩu thay thế mà WooC Commerce không thể đảm bảo và [b] bạn không có thói quen sử dụng cùng một mật khẩu trên nhiều dịch vụ.

Thứ lỗi cho chúng tôi vì đã hỏi, nhưng bạn không chia sẻ mật khẩu giữa bất kỳ trang web nào, chứ đừng nói đến việc chia sẻ mật khẩu tài khoản quản trị cho hệ thống thương mại điện tử của bạn, phải không?

Tuy nhiên, công ty khuyến khích bạn “chang[e] bất kỳ dữ liệu riêng tư hoặc bí mật nào được lưu trữ trong cơ sở dữ liệu WordPress/WooC Commerce của bạn”, đặc biệt bao gồm dữ liệu như mã thông báo xác thực, cookie phiên hoặc khóa API – tên biệt ngữ được đặt cho mật khẩu tạm thời về cơ bản mà trình duyệt của bạn (hoặc phần mềm khác) có thể thêm vào các yêu cầu web trong tương lai để có quyền truy cập ngay lập tức.

Những "mật khẩu bán thời gian" này ở đó để cho phép máy chủ suy luận rằng bạn đã trải qua quá trình đăng nhập đầy đủ gần đây đủ để bạn và các ứng dụng được ủy quyền trước của bạn được tin cậy mà không buộc bạn phải chia sẻ mật khẩu chính thực của mình với mọi người. ứng dụng hoặc tab trình duyệt sẽ thay mặt bạn thực hiện các yêu cầu có lập trình.

Bởi vì bạn thường cần sao chép và dán mã thông báo xác thực vào các ứng dụng khác để chúng có thể sử dụng chúng mà không yêu cầu bạn nhập chúng mỗi lần, chúng thường được lưu trữ ở dạng văn bản gốc, không phải ở dạng muối và băm như của bạn mật khẩu chính.

Nói một cách đơn giản, mặc dù bọn tội phạm có quyền truy cập cấp quản trị viên vào tài khoản của bạn không thể truy xuất văn bản thực của mật khẩu chính của bạn, nhưng chúng thường có thể (và sẽ, nếu có cơ hội làm như vậy), nắm giữ bản rõ của bất kỳ xác thực nào mã thông báo bạn đã tạo cho tài khoản của mình.

Quy trình “mã thông báo xác thực” hơi giống với việc bạn phải xuất trình giấy tờ tùy thân có ảnh đầy đủ để đi qua quầy lễ tân trong một tòa nhà văn phòng, sau đó bạn được cấp một thẻ ra vào cho phép bạn vuốt ra vào bao nhiêu tùy thích, và di chuyển bên trong tòa nhà, mặc dù chỉ trong một thời gian giới hạn.

Nếu ai đó đánh cắp giấy tờ tùy thân có ảnh của bạn, điều đó sẽ không có ích gì cho họ trừ khi họ trông giống bạn, bởi vì các chi tiết sẽ được xem xét kỹ lưỡng khi họ xuất trình.

Nhưng nếu họ lấy được thẻ ra vào của bạn khi bạn đang ở trong tòa nhà, họ có thể lẻn vào dưới vỏ bọc là bạn, bởi vì độ khó tương đối của việc lấy thẻ ra vào ngay từ đầu có nghĩa là nó được cho là một cách đáng tin cậy. nhận dạng bạn, ít nhất là tạm thời.

Phải làm gì?

  • Kiểm tra xem bạn có phiên bản vá của plugin Thanh toán WooC Commerce WordPress không. Công ty tuyên bố rằng các trang web được lưu trữ bởi WordPress, Pressable và WordPress VIP đã được cập nhật cho bạn, nhưng chúng tôi vẫn khuyên bạn nên kiểm tra. Bạn có thể tìm thấy hướng dẫn về cách kiểm tra (và cách vá lỗi nếu cần) trên WooC Commerce blog nhà phát triển. Mỗi phiên bản trong số chín (!) Phiên bản sản phẩm được hỗ trợ chính thức của công ty, từ 4.8.x đến 5.6.x, đều có bản cập nhật riêng.
  • Yêu cầu tất cả quản trị viên trên trang web của bạn thay đổi mật khẩu của họ. WooC Commerce gợi ý rằng bạn sẽ ổn ngay cả khi bạn không thay đổi mật khẩu của mình, bởi vì những kẻ tấn công sẽ cần bẻ khóa bất kỳ hàm băm mật khẩu bị đánh cắp nào trước tiên. Tuy nhiên, giá trị băm mật khẩu của bạn không được cho là có nguy cơ bị lộ ngay từ đầu, vì vậy việc thay đổi chúng ngay bây giờ là một biện pháp phòng ngừa hợp lý. Hãy nhớ rằng tội phạm mạng không cần phải bẻ khóa các mã băm bị đánh cắp ngay lập tức. Họ chỉ phải bẻ khóa một hoặc nhiều trong số chúng trước khi bạn bắt đầu vô hiệu hóa các giá trị băm đó bằng cách thay đổi mật khẩu mà chúng được tính toán.
  • Hủy tất cả các khóa API Cổng thanh toán và WooC Commerce hiện tại. Tạo khóa mới, như được giải thích trong WooCoomerce's tài liệu hướng dẫn, do đó mọi dữ liệu xác thực bị xâm phạm đều vô dụng đối với kẻ gian có thể đã lấy được dữ liệu đó.
tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.