Hakerzy wykorzystują lukę zero-day we wtyczce Ultimate Member dla WordPressa, z której korzysta ponad 200 tys. serwisów.
Hakerzy wykorzystują lukę zero-day pozwalającą na eskalację uprawnień we wtyczce Ultimate Member. Co mogą zrobić, jeśli zyskają dostęp? Przede wszystkim atakować strony internetowe, omijając zabezpieczenia i rejestrując nieautoryzowane konta administratorów. A wtedy zyskują praktycznie nielimitowany dostęp do serwisu.
Czym jest Ultimate Member?
Ultimate Member to wtyczka do profili użytkowników i zarządzania członkostwem, która ułatwia rejestrację i budowanie społeczności na stronach opartych na WordPressie. Obecnie ma ponad 200 000 aktywnych instalacji.
Wykorzystywana luka, oznaczona jako CVE-2023-3460, z wynikiem CVSS v3.1 wynoszącym 9.8 (“krytyczny”), wpływa na wszystkie wersje wtyczki Ultimate Member. Tak więc również na jej najnowszą wersję, v2.6.6.
Chociaż początkowo deweloperzy próbowali naprawić lukę w wersjach 2.6.3, 2.6.4, 2.6.5 i 2.6.6, nadal istnieją sposoby na jej wykorzystanie.
Deweloperzy twierdzą zaś, że pracują nad rozwiązaniem pozostałych problemów i mają nadzieję wkrótce wydać nową aktualizację.
“Pracujemy nad poprawkami związanymi z tą luką od wersji 2.6.3, kiedy otrzymaliśmy zgłoszenie od jednego z naszych klientów” – napisał jeden z deweloperów Ultimate Member.
Dodał: “Wersje 2.6.4, 2.6.5, 2.6.6 częściowo zamykają tę lukę, ale nadal pracujemy wspólnie z zespołem WPScan, aby osiągnąć najlepszy wynik. Otrzymaliśmy także od nich raport ze wszystkimi niezbędnymi szczegółami.”
Wszystkie poprzednie wersje są podatne, dlatego zdecydowanie zalecamy zaktualizowanie swoich stron do wersji 2.6.6 i instalowanie przyszłych aktualizacji, aby uzyskać najnowsze poprawki bezpieczeństwa i ulepszenia funkcji.
Ataki wykorzystujące CVE-2023-3460
Ataki wykorzystujące lukę zero-day zostały odkryte przez specjalistów ds. bezpieczeństwa stron internetowych z Wordfence, którzy ostrzegają, że hakerzy wykorzystują formularze rejestracyjne wtyczki do ustawiania dowolnych wartości metadanych użytkowników na swoich kontach.
Konkretniej, atakujący ustawiają wartość metadanych użytkownika “wp_capabilities” w celu zdefiniowania swojej roli jako administratorów, co daje im pełen dostęp do podatnej strony.
Wtyczka ma listę blokowanych kluczy, których użytkownicy nie powinni być w stanie zmieniać, jednak ominięcie tego zabezpieczenia jest banalnie proste – twierdzi Wordfence.
Strony WordPressa zhakowane za pomocą CVE-2023-3460 w tych atakach wykazują następujące wskaźniki:
- Pojawienie się nowych kont administratorów na stronie internetowej
- Używanie nazw użytkowników wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
- Rejestry logów pokazujące, że znane jako złośliwe adresy IP uzyskały dostęp do strony rejestracji Ultimate Member
- Rejestry logów pokazujące dostęp z adresów IP 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146, i 172.70.147.176
- Pojawienie się konta użytkownika z adresem e-mail powiązanym z “exelica.com”
- Instalacja nowych wtyczek i motywów WordPressa na stronie
Ponieważ krytyczna luka nie została jeszcze załatana i jest tak łatwa do wykorzystania, WordFence zaleca natychmiastowe odinstalowanie wtyczki Ultimate Member.
Ultimate Member na razie warto usunąć
Wordfence wyjaśnia, że nawet reguła zapory, którą opracowali specjalnie w celu ochrony swoich klientów przed tym zagrożeniem, nie obejmuje wszystkich potencjalnych scenariuszy wykorzystania, dlatego usunięcie wtyczki do czasu, aż jej dostawca rozwiąże problem, jest jedynym rozsądnym działaniem.
Jeśli okaże się, że strona została skompromitowana, na podstawie powyższych wskaźników, usunięcie wtyczki nie będzie wystarczające, by zniwelować ryzyko.
W takich przypadkach właściciele stron internetowych muszą przeprowadzić pełne skanowanie w poszukiwaniu złośliwego oprogramowania, aby wyeliminować wszelkie pozostałości kompromitacji, takie jak nieautoryzowane konta administratorów i wszelkie przez nie utworzone tylne drzwi do serwisu.
Sprawdź też: