200.000 siti WordPress esposti ad attacchi che sfruttano le falle del plugin “Ultimate Member”
Più di 200.000 siti Web WordPress sono esposti ad attacchi continui che mirano a una vulnerabilità critica nel plug-in Ultimate Member.
Progettato per facilitare la registrazione e l’accesso degli utenti ai siti, il plug-in consente ai proprietari dei siti di aggiungere profili utente, definire ruoli, creare campi modulo personalizzati e directory dei membri e altro ancora.
Classificato come CVE-2023-3460 (punteggio CVSS di 9,8), il difetto di sicurezza recentemente identificato in Ultimate Member consente agli aggressori di aggiungere un nuovo account utente al gruppo degli amministratori.
Alcuni utenti del plugin hanno osservato la creazione di account non autorizzati e li hanno segnalati questa settimana, ma sembra che gli attacchi siano continuati almeno dall’inizio di giugno.
Secondo la società di sicurezza WordPress WPScanil problema è radicato in un conflitto tra la logica della blocklist del plugin e il modo in cui WordPress tratta le chiavi dei metadati.
Ultimate Member utilizza liste di blocco per archiviare chiavi di metadati che gli utenti non devono manipolare e controlla queste liste ogni volta che gli utenti tentano di registrare queste chiavi durante la creazione di account.
A causa della differenza di funzionamento tra il plugin e WordPress, gli aggressori sono riusciti a indurre il plugin ad aggiornare le chiavi dei metadati, inclusa quella che memorizza il ruolo e le capacità dell’utente, spiega WPScan. L’azienda fornisce indicatori di compromissione (IoC) associati agli attacchi osservati.
Ciò ha consentito agli aggressori di registrare account utente con il ruolo di amministratore e almeno due proprietari di siti lo hanno fatto osservato E segnalato l’attività sospetta.
I manutentori del plugin, che descrivono il problema come un bug di escalation dei privilegi, hanno tentato di risolverlo nelle ultime due versioni di Ultimate Member, ma secondo quanto riferito non sono riusciti a risolverlo completamente. Tuttavia, loro ha riconosciuto lo sfruttamento in natura in corso.
Si consiglia ai proprietari dei siti di disabilitare Ultimate Member per impedire lo sfruttamento della vulnerabilità. Dovrebbero anche controllare tutti i ruoli di amministratore sui loro siti, per identificare gli account non autorizzati.
Imparentato: Le vulnerabilità critiche dei plugin WordPress influiscono su migliaia di siti
Imparentato: Milioni di siti WordPress corretti contro la vulnerabilità critica del Jetpack
Imparentato: Vulnerabilità del plug-in Field Builder di WordPress sfruttata negli attacchi due giorni dopo la patch