La vulnerabilità del plugin WordPress del membro Ultimate consente il controllo completo del sito
La vulnerabilità del plug-in WordPress di Ultimate Member, con oltre 200.000 installazioni attive, viene sfruttata attivamente su siti WordPress senza patch. Si dice che la vulnerabilità richieda uno sforzo banale per aggirare i filtri di sicurezza.
Vulnerabilità del plugin membro Ultimate
Il plugin Ultimate Member WordPress consente agli editori di creare comunità online sui loro siti web.
Il plugin funziona creando un processo semplice per le iscrizioni degli utenti e la creazione di profili utente. È un plugin popolare soprattutto per i siti ad abbonamento.
La versione gratuita del plugin ha un ampio set di funzionalità tra cui:
I profili utente front-end, la registrazione, l’accesso e gli editori possono anche creare directory dei membri.
Il plugin conteneva anche un difetto critico che consentiva al visitatore del sito di creare profili membro con privilegi essenzialmente a livello di amministratore.
Database di sicurezza WPScan descrive la gravità della vulnerabilità:
“Il plugin non impedisce ai visitatori di creare account utente con capacità arbitrarie, consentendo di fatto agli aggressori di creare account amministratore a piacimento.
Questo viene attivamente sfruttato in natura”.
Aggiornamento della sicurezza non riuscito
La vulnerabilità è stata scoperta alla fine di giugno 2023 e gli editori di Ultimate Member hanno risposto rapidamente con una patch per chiudere la vulnerabilità.
La patch per la vulnerabilità è stata rilasciata nella versione 2.6.5, pubblicata il 28 giugno.
L’ufficiale registro delle modifiche per il plugin dichiarato:
“Risolto: una vulnerabilità di escalation dei privilegi utilizzata tramite i moduli di messaggistica unificata.
Conosciuta in molti casi, questa vulnerabilità ha consentito a estranei di creare utenti WordPress a livello di amministratore.
Ti preghiamo di aggiornare immediatamente e di controllare tutti gli utenti con livello di amministratore sul tuo sito web.”
Tuttavia, la correzione non ha risolto completamente la vulnerabilità e gli hacker hanno continuato a sfruttarla sui siti Web.
I ricercatori di sicurezza di Wordfence hanno analizzato il plugin e il 29 giugno hanno stabilito che la patch in realtà non funzionava, descrivendo le loro scoperte in un post sul blog:
“Dopo ulteriori indagini, abbiamo scoperto che questa vulnerabilità viene sfruttata attivamente e non è stata adeguatamente patchata nell’ultima versione disponibile, che è la 2.6.6 al momento della stesura di questo articolo.”
Il problema era così grave che Wordfence ha descritto lo sforzo necessario per hackerare il plugin come banale.
“Mentre il plugin ha un elenco preimpostato di chiavi vietate, che un utente non dovrebbe essere in grado di aggiornare, ci sono modi banali per bypassare i filtri messi in atto come l’utilizzo di vari casi, barre e codifica dei caratteri in un valore di meta chiave fornito nelle versioni vulnerabili del plugin.
Ciò consente agli aggressori di impostare il metavalore utente wp_capabilities, che controlla il ruolo dell’utente sul sito, su “amministratore”.
Ciò garantisce all’aggressore l’accesso completo al sito vulnerabile quando sfruttato con successo.”
Il livello utente di Amministratore è il livello di accesso più alto di un sito WordPress.
Ciò che rende questo exploit particolarmente preoccupante è che si tratta di una classe chiamata “Unuthenticated Privilege Escalation”, il che significa che un hacker non ha bisogno di alcun livello di accesso al sito web per hackerare il plugin.
Il membro finale si scusa
Il team di Ultimate Member ha pubblicato delle scuse pubbliche ai propri utenti in cui hanno fornito un resoconto completo di tutto ciò che è accaduto e di come hanno risposto.
Va notato che la maggior parte delle aziende rilascia una patch e resta in silenzio. Quindi è encomiabile e responsabile che Ultimate Member sia sincero con i propri clienti riguardo agli incidenti di sicurezza.
“In primo luogo, vogliamo chiedere scusa per queste vulnerabilità nel codice del nostro plugin e in qualsiasi sito web che è stato colpito e per la preoccupazione che ciò potrebbe aver causato nel venire a conoscenza delle vulnerabilità.
Non appena siamo stati informati che erano state scoperte vulnerabilità di sicurezza nel plugin, abbiamo immediatamente iniziato ad aggiornare il codice per correggere le vulnerabilità.
Abbiamo rilasciato diversi aggiornamenti dopo la divulgazione mentre lavoravamo sulle vulnerabilità e vogliamo ringraziare di cuore il team di WPScan per aver fornito assistenza e guida in merito dopo che ci hanno contattato per divulgare le vulnerabilità.”
Utenti del plugin invitati ad aggiornare immediatamente
I ricercatori sulla sicurezza di WPScan esortano tutti gli utenti del plugin ad aggiornare immediatamente i propri siti alla versione 2.6.7.
Un annuncio speciale da parte di WPScan:
Campagna di hacking che sfrutta attivamente il plugin Ultimate Member
“Una nuova versione, la 2.6.7, è stata rilasciata questo fine settimana e risolve il problema.
Se utilizzi Ultimate Member, aggiorna a questa versione il prima possibile.
Si tratta di un problema molto serio: gli aggressori non autenticati potrebbero sfruttare questa vulnerabilità per creare nuovi account utente con privilegi amministrativi, dando loro il potere di assumere il controllo completo dei siti interessati”.
Questa vulnerabilità è valutata 9,8 su una scala da 1 a 10, dove dieci rappresenta il livello più grave.
Si consiglia vivamente agli utenti del plug-in di aggiornarsi immediatamente.
Immagine in primo piano di Shutterstock/pedrorsfernandes