Gli hacker sfruttano il plugin zero-day in Ultimate Member WordPress con 200.000 installazioni
Gli hacker sfruttano una vulnerabilità di escalation dei privilegi zero-day nel plug-in WordPress “Ultimate Member” per compromettere i siti Web aggirando le misure di sicurezza e registrando account amministratori non autorizzati.
Ultimate Member è un plug-in per profili utente e membri che facilita le iscrizioni e la creazione di comunità sui siti WordPress e attualmente ha oltre 200.000 installazioni attive.
Il difetto sfruttato, tracciato come CVE-2023-3460 e con un punteggio CVSS v3.1 di 9,8 (“critico”), ha un impatto su tutte le versioni del plug-in Ultimate Member, inclusa la sua ultima versione, v2.6.6.
Sebbene gli sviluppatori abbiano inizialmente tentato di correggere il difetto nelle versioni 2.6.3, 2.6.4, 2.6.5 e 2.6.6, ci sono ancora modi per sfruttare il difetto. Gli sviluppatori hanno affermato che stanno continuando a lavorare per risolvere il problema rimanente e sperano di rilasciare presto un nuovo aggiornamento.
“Stiamo lavorando alle correzioni relative a questa vulnerabilità dalla versione 2.6.3 quando riceviamo un rapporto da uno dei nostri clienti,” pubblicato uno degli sviluppatori di Ultimate Member.
“Le versioni 2.6.4, 2.6.5, 2.6.6 chiudono parzialmente questa vulnerabilità, ma stiamo ancora lavorando insieme al team WPScan per ottenere il miglior risultato. Riceviamo anche il loro rapporto con tutti i dettagli necessari.”
“Tutte le versioni precedenti sono vulnerabili, quindi consigliamo vivamente di aggiornare i tuoi siti Web alla versione 2.6.6 e di mantenere gli aggiornamenti in futuro per ottenere i recenti miglioramenti della sicurezza e delle funzionalità.”
Attacchi che sfruttano CVE-2023-3460
Gli attacchi che sfruttano questo zero-day sono stati scoperti dagli specialisti della sicurezza dei siti web su Wordfenceche avvertono che gli autori delle minacce lo sfruttano utilizzando i moduli di registrazione del plugin per impostare metavalori utente arbitrari sui propri account.
Più specificamente, gli aggressori impostano il metavalore utente “wp_capabilities” per definire il proprio ruolo utente come amministratori, garantendo loro l’accesso completo al sito vulnerabile.
Il plugin ha una lista bloccata per le chiavi che gli utenti non dovrebbero essere in grado di aggiornare; tuttavia, aggirare questa misura di protezione è banale, afferma Wordfence.
I siti WordPress compromessi utilizzando CVE-2023-3460 in questi attacchi mostreranno i seguenti indicatori:
- Apparizione di nuovi account amministratore sul sito web
- Utilizzo dei nomi utente wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
- Record di registro che mostrano che IP noti per essere dannosi hanno avuto accesso alla pagina di registrazione di Ultimate Member
- Record di registro che mostrano l’accesso da 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 e 172.70.147.176
- Comparsa di un account utente con un indirizzo email associato a “exelica.com”
- Installazione di nuovi plugin e temi WordPress sul sito
Poiché il difetto critico rimane senza patch ed è così facile da sfruttare, WordFence consiglia di disinstallare immediatamente il plug-in Ultimate Member.
Wordfence spiega che nemmeno la regola firewall sviluppata appositamente per proteggere i propri clienti da questa minaccia copre tutti i potenziali scenari di sfruttamento, quindi rimuovere il plugin finché il fornitore non risolve il problema è l’unica azione prudente.
Se si scopre che un sito è stato compromesso, in base agli IoC condivisi sopra, rimuovere il plug-in non sarà sufficiente per porre rimedio al rischio.
In questi casi, i proprietari dei siti web devono eseguire scansioni complete del malware per sradicare eventuali residui della compromissione, come gli account amministratore non autorizzati e le eventuali backdoor da loro create.