В плагине Facebook Chat для сайтов на WordPress обнаружена критическая уязвимость, которая позволяет киберпреступникам перехватывать сообщения, которые отправляются посетителями владельцу веб-ресурса.
С помощью плагина Facebook Chat Plugin владельцы сайтов на WordPress могут встраивать чат для общения с посетителями в режиме реального времени через платформу Facebook. Плагин имеет поддержку функции расшифровки стенограмм чата и функцию по автоматическим ответам на часто задаваемые вопросы (например, в нерабочее время), чтобы посетителям была оперативно предоставлена полезная информация при отсутствии администратора.
Команда Wordfence Threat Intelligence опубликовала отчет, в котором рассказано об обнаружении критической уязвимости, которая получила рейтинг 7,4 по CVSS. Разработчики компании Facebook исправили проблему примерно через месяц после ее обнаружения (информация об уязвимости была отправлена специалистами Wordfence Threat Intelligence еще в конце июня 2020 г.).
На сайтах на WordPress, на которых установлена уязвимая версия Facebook Chat Plugin, киберпреступники имеют возможность, пройдя проверку подлинности низкого уровня, «подключить свою учетную запись Facebook Messenger и начать общение с посетителями сайта от имени администратора".
Чтобы связать всплывающее окно чата с личной страницей Facebook, плагин чата применяет действие Ajax wp_ajax_update_options, которое в уязвимой версии не проверяло, поступали ли запросы на подключение к странице от авторизованных администраторов сайта.
Команда Wordfence Threat Intelligence опубликовало следующее сообщение: «Благодаря уязвимости любой аутентифицированный пользователь, в том числе и имеющий учетную запись подписчика, мог отправлять запросы на обновление параметров для подключения собственной учетной записи к Facebook Messenger. За счет такого подхода киберпреступники могли связать свой аккаунт Facebook Page Messenger, обновив идентификатор страницы, с любым сайтом WordPress, на котором активен плагин чата. Подобная атака была очень полезна для проведения кампаний по социальной инженерии – от имени администратора сайтов хакеры могли запрашивать различную информацию у посетителей, которые ничего не смогли бы заподозрить».
Напомним, что в конце июля 2020 г. также была обнаружена критическая уязвимость другого плагина WordPress – wpDiscuz.
