Kwetsbaarheid gevonden in WooCommerce

Op 13 juli 2021 werd een kritieke kwetsbaarheid met betrekking tot WooCommerce en de WooCommerce Blocks functie plug-in geïdentificeerd en bekendgemaakt door beveiligingsonderzoeker Josh, via het Hacker One-beveiligingsprogramma.

Er werd onmiddellijk een grondig onderzoek uitgevoerd en de ontwikkelaars controleerden alle gerelateerde codebases en creëerde een patch om het probleem op te lossen voor elke getroffen versie (90+ releases) die automatisch werd geïmplementeerd in kwetsbare webshops.

Uiteraard zitten wij als ROI verhogen hier ook bovenop en hebben wij voor alle WooCommerce klanten direct alle mogelijke acties ondernomen indien noodzakelijk. Aangezien wij continu onderhoud en updates uitvoeren en volledig up-to-date waren, verklein je uiteraard al eventuele kwetsbaarheden. 

Ik heb een WooCommerce-winkel (webshop)- welke acties moet ik ondernemen?

Automatische software-updates voor WooCommerce 5.5.1 werden op 14 juli 2021 uitgerold naar alle winkels met getroffen versies van elke plug-in, maar we raden je toch ten zeerste aan ervoor te zorgen dat je de nieuwste versie gebruikt. Voor WooCommerce is dit 5.5.2* of laatste versie. Als je ook WooCommerce Blocks gebruikt, zou je minstens versie 5.5.1 van die plug-in moeten gebruiken.

Belangrijk: met de release van WooCommerce 5.5.2 op 23 juli 2021 is het bovengenoemde automatische updateproces stopgezet.

Na het updaten naar een gepatchte versie raden we ook aan:

Het bijwerken van de wachtwoorden voor alle Admin-gebruikers op uw site, vooral als ze dezelfde wachtwoorden op meerdere websites hergebruiken. Wijzigen van alle Payment Gateways als Mollie en WooCommerce API-sleutels die op uw site worden gebruikt.
Hieronder vindt u meer informatie over deze stappen.

* WooCommerce 5.5.2 is uitgebracht op 23 juli 2021. De fixes in deze versie hebben niets te maken met het recente beveiligingslek.

Waarom heeft mijn website de automatische update niet gekregen?

Uw site is om een ​​aantal redenen mogelijk niet automatisch bijgewerkt, enkele van de meest waarschijnlijke zijn: u gebruikt een eerdere versie dan de versie waarop deze invloed had (onder WooCommerce 3.3), automatische updates zijn expliciet uitgeschakeld op uw site, uw bestandssysteem is alleen-lezen, of er zijn mogelijk conflicterende extensies die de update verhinderen.

In alle gevallen (behalve het eerste voorbeeld, waar je geen last van hebt), moet je proberen om handmatig te updaten naar de nieuwste gepatchte versie.

Zijn er gegevens gehackt?

Op basis van het huidige beschikbare bewijs denken we dat gestolen gegevens beperkt zijn.
Als een webshop is getroffen, is de blootgestelde informatie specifiek voor wat die site opslaat, maar kan het ook order-, klant- en administratieve informatie bevatten.

Hoe kan ik controleren of mijn winkel is uitgebuit?

Vanwege de aard van deze kwetsbaarheid en de extreem flexibele manier waarop WordPress (en dus WooCommerce) verzoeken laat verwerken, is er geen definitieve manier om een lek te bevestigen. U kunt mogelijk enkele misbruikpogingen detecteren door de toegangslogboeken van uw webserver te bekijken (of door hulp te krijgen van uw webhost om dit te doen). Verzoeken in de volgende indelingen die tussen december 2019 en nu zijn gezien, duiden waarschijnlijk op een poging tot misbruik:

  • REQUEST_URI komt overeen met reguliere expressie //wp-json/wc/store/products/collection-data.*%25252.*/
  • REQUEST_URI komt overeen met reguliere expressie /.*/wc/store/products/collection-data.*%25252.*/ (merk op dat deze expressie niet efficiënt is/langzaam werkt in de meeste logomgevingen)
  • Elk niet-GET-verzoek (POST of PUT) aan /wp-json/wc/store/products/collection-data of /?rest_route=/wc/store/products/collection-data
  • Verzoeken waarvan we hebben gezien dat misbruik van dit beveiligingslek werd gemaakt, zijn afkomstig van de volgende IP-adressen, waarbij meer dan 98% afkomstig is van de eerste in de lijst. Als u een van deze IP-adressen in uw toegangslogboeken ziet, moet u ervan uitgaan dat het beveiligingslek werd misbruikt:
    • 137.116.119.175
    • 162.158.78.41
    • 103.233.135.21

Welke wachtwoorden moet ik wijzigen?

Het is onwaarschijnlijk dat uw wachtwoord is gehackt omdat het is gehasht.

WordPress-gebruikerswachtwoorden worden gehasht met behulp van salts, wat betekent dat de resulterende hash-waarde erg moeilijk te kraken is. Deze salted hash-benadering beschermt uw wachtwoord als beheerder, en ook de wachtwoorden van andere gebruikers op uw site, inclusief klanten. Hoewel het mogelijk is dat via dit beveiligingslek toegang is verkregen tot de gehashte versie van uw wachtwoord die in uw database is opgeslagen, moet de hash-waarde niet te onderscheiden zijn en uw wachtwoorden toch beschermen tegen ongeoorloofd gebruik.

Dit veronderstelt dat uw site het standaard WordPress-wachtwoordbeheer voor gebruikers gebruikt. Afhankelijk van de plug-ins die je op je site hebt geïnstalleerd, is het mogelijk dat wachtwoorden of andere gevoelige informatie op minder veilige manieren zijn opgeslagen.

Als een van de beheerders op uw site mogelijk dezelfde wachtwoorden op meerdere websites heeft hergebruikt, raden we u aan die wachtwoorden bij te werken voor het geval hun inloggegevens ergens anders zijn gehackt.

We raden ook aan om privé- of geheime gegevens die zijn opgeslagen in uw WordPress/WooCommerce-database te wijzigen. Dit kunnen API-sleutels, openbare/private sleutels voor betalingsgateways en meer zijn, afhankelijk van uw specifieke winkelconfiguratie.

Moet ik als winkeleigenaar mijn klanten waarschuwen?

Of u uw klanten waarschuwt, is uiteindelijk aan u. Uw verplichtingen om klanten op de hoogte te stellen of zaken als wachtwoorden opnieuw in te stellen, zijn afhankelijk van details zoals uw site-infrastructuur, waar u en uw klanten zich geografisch bevinden, welke gegevens uw site verzamelt en of uw site al dan niet is gehackt.

De belangrijkste actie die u kunt ondernemen om uw klanten te beschermen, is uw versie van WooCommerce bij te werken naar een versie die is gepatcht met een oplossing voor dit beveiligingslek.

Na het updaten raden we aan:

De wachtwoorden bijwerken voor beheerders van uw site, vooral als u dezelfde wachtwoorden op meerdere websites gebruikt Roteren van alle Payment Gateway en WooCommerce API-sleutels die op uw site worden gebruikt.

Als winkeleigenaar is het uiteindelijk uw beslissing of u aanvullende voorzorgsmaatregelen wilt nemen, zoals het opnieuw instellen van de wachtwoorden van uw klanten.

We mogen weer!VRIJBLIJVEND SPARREN?

over hoe we jouw merk kunnen versterken