Οι χάκερ εκμεταλλεύονται την προσθήκη zero-day στο Ultimate Member WordPress με 200.000 εγκαταστάσεις
Related Posts
Οι χάκερ εκμεταλλεύονται μια ευπάθεια κλιμάκωσης προνομίων μηδενικής ημέρας στην προσθήκη WordPress «Ultimate Member» για να παραβιάσουν ιστότοπους παρακάμπτοντας μέτρα ασφαλείας και καταχωρώντας αδίστακτους λογαριασμούς διαχειριστή.
Το Ultimate Member είναι ένα προφίλ χρήστη και ένα πρόσθετο μέλους που διευκολύνει τις εγγραφές και τη δημιουργία κοινοτήτων σε ιστότοπους WordPress και αυτή τη στιγμή έχει πάνω από
200.000 ενεργές εγκαταστάσεις
.
Το ελάττωμα που χρησιμοποιήθηκε, παρακολουθείται ως CVE-2023-3460 και έχει βαθμολογία CVSS v3.1 9,8 (“κρίσιμο”), επηρεάζει όλες τις εκδόσεις της προσθήκης Ultimate Member, συμπεριλαμβανομένης της πιο πρόσφατης έκδοσης, v2.6.6.
Ενώ οι προγραμματιστές προσπάθησαν αρχικά να διορθώσουν το ελάττωμα στις εκδόσεις 2.6.3, 2.6.4, 2.6.5 και 2.6.6, εξακολουθούν να υπάρχουν τρόποι για να εκμεταλλευτούν το ελάττωμα. Οι προγραμματιστές δήλωσαν ότι συνεχίζουν να εργάζονται για την επίλυση του ζητήματος που απομένει και ελπίζουν να κυκλοφορήσουν μια νέα ενημέρωση σύντομα.
“Εργαζόμαστε για τις επιδιορθώσεις που σχετίζονται με αυτήν την ευπάθεια από την έκδοση 2.6.3 όταν λάβουμε μια αναφορά από έναν πελάτη μας.”
αναρτήθηκε
ένας από τους προγραμματιστές Ultimate Member.
“Οι εκδόσεις 2.6.4, 2.6.5, 2.6.6 κλείνουν εν μέρει αυτό το θέμα ευπάθειας, αλλά εξακολουθούμε να εργαζόμαστε μαζί με την ομάδα του WPScan για να έχουμε το καλύτερο αποτέλεσμα. Λαμβάνουμε επίσης την αναφορά τους με όλες τις απαραίτητες λεπτομέρειες.”
“Όλες οι προηγούμενες εκδόσεις είναι ευάλωτες, επομένως συνιστούμε ανεπιφύλακτα να αναβαθμίσετε τους ιστότοπούς σας στην έκδοση 2.6.6 και να διατηρήσετε ενημερώσεις στο μέλλον για να λάβετε τις πρόσφατες βελτιώσεις ασφάλειας και δυνατοτήτων.”
Επιθέσεις που εκμεταλλεύονται το CVE-2023-3460
Οι επιθέσεις που εκμεταλλεύονται αυτήν την ημέρα μηδέν ανακαλύφθηκαν από ειδικούς ασφαλείας ιστοτόπων στο
Wordfence
οι οποίοι προειδοποιούν ότι οι φορείς απειλών την εκμεταλλεύονται χρησιμοποιώντας τις φόρμες εγγραφής της προσθήκης για να ορίσουν αυθαίρετες μετα-τιμές χρήστη στους λογαριασμούς τους.
Πιο συγκεκριμένα, οι εισβολείς ορίζουν τη μετα-τιμή χρήστη “wp_capabilities” για να ορίσουν τον ρόλο χρήστη τους ως διαχειριστές, παρέχοντάς τους πλήρη πρόσβαση στον ευάλωτο ιστότοπο.
Η προσθήκη έχει μια λίστα αποκλεισμού για κλειδιά που οι χρήστες δεν θα πρέπει να μπορούν να αναβαθμίσουν. Ωστόσο, η παράκαμψη αυτού του μέτρου προστασίας είναι ασήμαντη, λέει το Wordfence.
Οι ιστότοποι WordPress που έχουν παραβιαστεί χρησιμοποιώντας CVE-2023-3460 σε αυτές τις επιθέσεις θα εμφανίζουν τους ακόλουθους δείκτες:
- Εμφάνιση νέων λογαριασμών διαχειριστή στον ιστότοπο
- Χρήση των ονομάτων χρήστη wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
- Εγγραφές καταγραφής που δείχνουν ότι οι IP που είναι γνωστό ότι είναι κακόβουλες είχαν πρόσβαση στη σελίδα εγγραφής Ultimate Member
- Εγγραφές καταγραφής που δείχνουν πρόσβαση από 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 και 172.70.147.176
- Εμφάνιση λογαριασμού χρήστη με διεύθυνση email που σχετίζεται με το “exelica.com”
- Εγκατάσταση νέων πρόσθετων και θεμάτων WordPress στον ιστότοπο
Επειδή το κρίσιμο ελάττωμα παραμένει μη επιδιορθωμένο και είναι τόσο εύκολο στην εκμετάλλευση, το WordFence συνιστά την άμεση απεγκατάσταση της προσθήκης Ultimate Member.
Το Wordfence εξηγεί ότι ούτε ο κανόνας του τείχους προστασίας που έχει αναπτύξει ειδικά για την προστασία των πελατών του από αυτήν την απειλή δεν καλύπτει όλα τα πιθανά σενάρια εκμετάλλευσης, επομένως η κατάργηση της προσθήκης έως ότου ο προμηθευτής της αντιμετωπίσει το πρόβλημα είναι η μόνη συνετή ενέργεια.
Εάν διαπιστωθεί ότι ένας ιστότοπος έχει παραβιαστεί, με βάση τα IoC που κοινοποιήθηκαν παραπάνω, η κατάργηση της προσθήκης δεν θα είναι αρκετή για την αποκατάσταση του κινδύνου.
Σε αυτές τις περιπτώσεις, οι κάτοχοι ιστότοπων πρέπει να εκτελέσουν πλήρεις σαρώσεις κακόβουλου λογισμικού για να ξεριζώσουν τυχόν υπολείμματα του συμβιβασμού, όπως τους απατεώνες λογαριασμούς διαχειριστή και τυχόν κερκόπορτες που δημιούργησαν.
