Gli hacker sfruttano attivamente la vulnerabilità 0-Day nel plugin WordPress Ultimate Member
Gli hacker sfruttano attivamente una vulnerabilità zero-day nel plugin WordPress Ultimate Member per aumentare i privilegi: con l’aiuto di questo bug gli aggressori hackerano siti, aggirano la protezione e creano nuovi account amministratore. IL Membro Ultimo il plugin è progettato per facilitare la registrazione e la creazione di comunità su WordPress siti e attualmente conta più di 200.000 installazioni attive.
Vulnerabilità di 0 giorni del plugin WordPress per membri Ultimate
Questo non è il primo caso in cui viene installato un plugin per WordPress sembra contenere un exploit di 0 giorni. In particolare, gli hacker utilizzato il malware GoTrim per hackerare siti basati su WP. L’entità dell’interesse degli hacker nell’hacking di tali siti Web è confermata da il numero di siti scansionati alla ricerca delle vulnerabilità.
La vulnerabilità usata in natura ha ricevuto l’identificatore CVE-2023-3460 e un punteggio di 9,8 sulla scala CVSS. Il punteggio massimo è 10, quindi puoi capire quanto sia critico. Il problema riguarda tutte le versioni di Ultimate Member, inclusa l’ultima versione 2.6.6. Inizialmente gli sviluppatori hanno provato a correggere la vulnerabilità nelle versioni 2.6.3, 2.6.4, 2.6.5 e 2.6.6. Tuttavia, sembra che la vulnerabilità sia più profonda. Gli autori del plugin dichiarano di continuare a lavorare per risolvere i problemi rimanenti e spero di rilasciare una nuova patch nel prossimo futuro.
Le versioni 2.6.4, 2.6.5, 2.6.6 risolvono parzialmente la vulnerabilità, ma stiamo ancora lavorando con WPScan comando per ottenere il miglior risultato. Tutte le versioni precedenti [of the plugin] sono vulnerabili, quindi ti consigliamo vivamente di aggiornare i tuoi siti alla versione 2.6.6 e di seguire gli aggiornamenti futuri per ottenere gli ultimi miglioramenti in termini di sicurezza e funzionalità.scrivono gli sviluppatori.
Come funziona?
Attacchi a una vulnerabilità in Ultimate Member sono stati rilevati da Wordfence specialistiche avvertono che i criminali utilizzano un bug nel modulo di registrazione del plugin per impostare metavalori arbitrari per i propri account.
In particolare, gli hacker impostano il metavalore wp_capabilities per assegnarsi il ruolo di amministratore. Ovviamente, ciò dà loro pieno accesso alla risorsa vulnerabile. Il plugin ha una lista nera di chiavi che gli utenti non possono aggiornare, il che potrebbe facilitare il problema. Ciò nonostante, lo dicono i ricercatori è abbastanza facile aggirare questa misura protettiva.
Siti compromessi utilizzando CVE-2023-3460 avrà i seguenti indicatori di compromesso:
- la comparsa di nuovi documenti amministrativi sul sito;
- uso di wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal;
- registri che mostrano che indirizzi IP noti per essere dannosi hanno avuto accesso alla pagina di registrazione dell’Ultimate Member;
- registra l’accesso corretto con 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 e 172.70.147.176;
- la comparsa di un record con un indirizzo email associato a exelica.com;
- installazione di nuovi plugin e di quelli presenti sul sito.
La vulnerabilità critica rimane non risolta ed estremamente facile da usare. WordFence consiglia a tutti gli amministratori di rimuovere immediatamente il plug-in Ultimate Member. Gli esperti spiegano che anche le specifiche configurazioni del firewall non coprono tutti i possibili scenari di sfruttamento. Quindi per ora rimuovere il plugin rimane l’unica soluzione possibile.