Vulnerabilidad crítica detectada en WooCommerce el 13 de julio de 2021 – ¿Qué necesita saber?

Última actualización: 23 de julio de 2021 El 13 de julio de 2021, una vulnerabilidad crítica de WooCommerce y el complemento para la función WooCommerce Blocks ha sido identificado y revelado de manera responsable por Josh Security Researcher, a través de nuestro programa de seguridad de Hacherone. Después de conocer el problema, nuestro equipo realizó inmediatamente una investigación exhaustiva, auditó todas las bases de código asociadas y creó un parche para remediar el problema para cada versión afectada (+ 90 versiones), que se implementó automáticamente en las tiendas vulnerables. Tengo una tienda de WooCommerce, ¿qué acciones debo hacer? Las actualizaciones automáticas de software WooCommerce 5.5.1 han comenzado a lanzarse el 14 de julio de 2021, en todas las tiendas que ejecutan versiones afectadas de cada complemento, pero le recomendamos que use la última versión. Para WooCommerce, esto es 5.5.2 * o el número más grande posible en su rama de lanzamiento. Si también ejecuta bloques de WooCommerce, debe usar la versión 5.5.1 de ese complemento.
Importante: con el lanzamiento de WooCommerce 5.5.2 el 23 de julio de 2021, se interrumpió el proceso de actualización automática mencionado anteriormente. Después de actualizar una versión corregida, también recomendamos:
Actualización de contraseñas para cualquier usuario administrador en su sitio, especialmente si se reutiliza las mismas contraseñas en múltiples sitios web
Rotando cualquier pasarela de pago y las claves de la API de WooCommerce utilizadas en su sitio.
Hay más información sobre estos pasos a continuación. * WooCommerce 5.5.2 se lanzó el 23 de julio de 2021. Las correcciones contenidas en esta versión no están relacionadas con la vulnerabilidad de seguridad reciente.
¿Cómo sé si mi versión está actualizada? La siguiente tabla contiene la lista completa de versiones corregidas para los bloques de WoCommerce y WooCommerce. Si está ejecutando una versión de WooCommerce o WooCommerce Blocks que no está en esta lista, actualice inmediatamente a su versión más alta de su rama de lanzamiento. TD> versiones de bloques de WooCommerce parcheados 3.3.6 2.5.16 3.4. 8 2.6.2 > 3.5.9 2.7.2 3.6.6 2.8.1 3.7.2 2.9.1 3.8.2 3.0.1 3.9.4 3.1.1

! 4.2.3 3.4.1 4.3.4 3.5.1 4.4.2

3.6.1 4.5.3 3.7.2 4.6.3 3.8.1 4.7 .2 3.9.1 4.8.1 4.0.1 4.9.3 4.1.1 5.0.1 4.2.1 5.1.1 4.3.1 5.2.3 5.3.1 4.5.3 5.4.2 4.6.1

5.5.1 4.7.1 5.5.2 4.8.1 4.9.2 5.0.1

! Tr>
5.3.2 5.4.1 5.5.1

¿Por qué mi sitio no obtuvo la actualización automática?
Es posible que su sitio no se haya actualizado automáticamente por varias razones, algunas de las más probables son: rodar una versión anterior del afectado (bajo WooCommerce 3.3), las actualizaciones automáticas se han deshabilitado explícitamente en el sitio, su sistema de archivos solo está en Lectura o hay extensiones potencialmente conflictivas que evitan la actualización. En todos los casos (excepto el primer ejemplo, no se ve afectado), debe intentar manejar manualmente la versión correcta más reciente de su rama de lanzamiento (por ejemplo, 5.5.2, 5.4 .2, 5.3.1 etc.), como se enumera en la tabla anterior. ¿Fueron comprometidos entregados? Según la evidencia disponible actual, creemos que cualquier operación ha sido limitada. Si una tienda ha sido afectada, la información expuesta será específica para lo que las tiendas del sitio, pero podría incluir información de pedido, cliente e administrativa. ¿Cómo puedo verificar si mi tienda ha sido explotada? Debido a la naturaleza de esta vulnerabilidad y a la forma extremadamente flexible en que WordPress (y, por lo tanto, WooCommerce) permite la gestión de aplicaciones web, no existe una forma definitiva de confirmar una exploit. Es posible que pueda detectar algunos intentos operativos examinando los registros de acceso de su servidor web (o obteniendo ayuda de su web para hacer esto). Las solicitudes en los siguientes formatos vistos entre diciembre de 2019 y ahora probablemente indican un intento de explotación:
Solicitas que coinciden con la expresión regular //wp-json/wc/store/products/collection-data.*%25252.*/
Solicitudes que coinciden con la expresión regular /.*/wc/store/production/collection-data.*%25252.*/ (Tenga en cuenta que esta expresión no es efectiva/se ejecuta lentamente en la mayoría de los registros) cualquier solicitud que no sea get (publicar o poner ) To/Wp-Json/WC/Store/Products/Collection-Data o? REST
Las solicitudes que hemos visto explotando esta vulnerabilidad provienen de las siguientes direcciones IP, más del 98% del primero en la lista. Si ve alguna de estas direcciones IP en sus registros de acceso, debe asumir que la vulnerabilidad ha sido explotada:
137.116.119.175
162.158.78.41

103.233.135.21
¿Qué contraseñas debo cambiar? Es poco probable que la contraseña se haya visto comprometida porque es el hashing. Las contraseñas de los usuarios de WordPress son hash utilizando sales, lo que significa que el valor de hash resultante es muy difícil de romper. Este enfoque hash sărat protege su contraseña como usuario administrador, así como cualquier otro usuario en su sitio, incluidos los clientes. Aunque es posible que la versión hash de la contraseña almacenada en la base de datos haya sido accedida por esta vulnerabilidad, el valor hash debe ser indiscernible y continuar protegiendo sus contraseñas contra el uso no autorizado.
Esto supone que su sitio usa contraseñas estándar de WordPress para usuarios. Dependiendo de los complementos que haya instalado en su sitio, puede tener contraseñas u otra información confidencial almacenada de manera menos segura. Si alguno de los usuarios en su sitio podría haber reutilizado las mismas contraseñas en varios sitios web, le recomendamos que actualice esas contraseñas si sus credenciales se han comprometido en otro lugar. También recomendamos que cambie los datos privados o secretos almacenados en sus datos de WordPress/WooCommerce. Estos pueden incluir claves API, claves públicas/privadas para la pasarela de pago y más, dependiendo de la configuración de su tienda como desarrollador o proveedor de servicios de extensión, ¿deberíamos alertar a nuestros comerciantes de WooCommerce? Si trabaja con cualquier tienda o comerciante en vivo de WooCommerce, le recomendamos que trabaje con ellos para asegurarse de saber este problema y/o actualizar la tienda en una versión segura. Si ha creado una extensión u ofrece un servicio SaaS basado en la API de WooCommerce, ¿le recomendamos que ayude a los comerciantes a restablecer las claves para conectarse a su servicio como propietario de una tienda? ¿Debería advertir a mis clientes? Si está alertando a sus clientes, finalmente depende de sus obligaciones de notificar a los clientes o restablecer cosas como las contraseñas variarán según detalles como la infraestructura de su sitio, su ubicación geográfica y sus clientes, qué datos recopilan su sitio y si su sitio Ha sido comprometido.
La acción más importante que puede tomar para proteger a sus clientes es actualizar su versión de WooCommerce en una versión que se haya corregido con un remedio para esta vulnerabilidad. Después de la actualización, recomendamos: Actualice contraseñas para cualquier usuario administrador en su sitio, especialmente si reutiliza las mismas contraseñas en múltiples sitios web
Rotando cualquier pasarela de pago y las claves de la API de WooCommerce utilizadas en su sitio.
Como propietario de la tienda, finalmente es su decisión. Si desea tener una precaución adicional, como restablecer a sus clientes. Las contraseñas de usuarios de WordPress (y, por lo tanto, WooCommerce) están hashing usando sales, que qué significa que el valor hash resultante es muy difícil de romper. Este enfoque hash sărat se aplica a las contraseñas de todos los usuarios en su sitio, incluidas las contraseñas de sus clientes.
¿WooCommerce todavía está seguro de usar? Sí. Los incidentes de este tipo son inusuales, pero desafortunadamente, a veces. Nuestra intención siempre es responder de inmediato y operar con plena transparencia. Desde que se enteró de vulnerabilidad, el equipo ha trabajado sin parar para asegurarse de que se haya implementado un remedio y que nuestros usuarios hayan sido informados. Nuestra inversión continúa en la seguridad de la plataforma nos permite evitar la gran mayoría de los problemas, pero en casos raros que podrían tener un impacto en las tiendas, nos esforzamos por remediar, comunicarnos proactivos y trabajar en colaboración con la comunidad de WooCommerce.