Hackere udnytter nul-dag WordPress plugin med 200K installationer
Hackere udnytter nu aktivt en nul-dag privilegium sårbarhed i ‘Ultimate Member’. Dette WordPress-plugin, når det er udnyttet omgår alle sikkerhedsforanstaltninger og registrere kriminelle administrator-konti, der har fuld adgang til ethvert WordPress website. Har du flere websites kan det forsøge andre muligheder for at angribe disse foruden det netop omtalte plugin. Det er uvist om det anvendes til DDOS angreb, som de fleste webhoteludbydere er rimeligt beskyttet imod.
Ultimate Member er et brugerprofil- og medlemskabs-plugin, der letter tilmeldinger og opbygning af fællesskaber på WordPress-websteder, og det har i øjeblikket over 200.000 aktive installationer.
Den udnyttede fejl, sporet som CVE-2023-3460, og har en CVSS v3.1 score på 9,8 (“kritisk”), påvirker alle versioner af Ultimate Member-pluginet, herunder dets seneste version, v2.6.6.
Selvom udviklerne oprindeligt forsøgte at rette fejlen i versionerne 2.6.3, 2.6.4, 2.6.5 og 2.6.6, er der stadig måder at udnytte fejlen på. Udviklerne har sagt, at de fortsætter arbejdet med at løse det resterende problem og håber at frigive en ny opdatering snart.
“Vi arbejder på rettelser relateret til denne sårbarhed siden version 2.6.3, da vi får en rapport fra en af vores kunder,” postede en af Ultimate Member-udviklerne.
“Versionerne 2.6.4, 2.6.5, 2.6.6 lukker delvist denne sårbarhed, men vi arbejder stadig sammen med WPScan-teamet for at få det bedste resultat. Vi får også deres rapport med alle nødvendige detaljer.”
“Alle tidligere versioner er sårbare, så vi anbefaler kraftigt at opgradere jeres websteder til 2.6.6 og holde opdateringer i fremtiden for at få de seneste sikkerheds- og funktionsforbedringer.” Angreb udnytter CVE-2023-3460
Angreb, der udnytter denne nul-dag, blev opdaget af webstedsikkerhedsspecialister på Wordfence, der advarer om, at trusselsaktører udnytter det ved at bruge pluginets registreringsformularer til at sætte vilkårlige brugermeta-værdier på deres konti.
Mere specifikt sætter angriberne “wp_capabilities” bruger meta-værdien for at definere deres brugerrolle som administratorer, hvilket giver dem fuld adgang til det sårbare websted.
Pluginet har en blokeringsliste for nøgler, som brugerne ikke burde være i stand til at opgradere; men at omgå denne beskyttelsesforanstaltning er banalt, siger Wordfence.
WordPress-websteder, der er hacket ved hjælp af CVE-2023-3460 i disse angreb, vil vise følgende indikatorer:
- Fremkomst af nye administrator-konti på websitet
- Brug af brugernavnene wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
- Logregistre, der viser, at IP-adresser kendt for at være skadelige, har fået adgang til Ultimate Member registreringssiden
- Logregistre, der viser adgang fra:
146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146, og 172.70.147.176 - Fremkomst af en brugerkonto med en e-mailadresse forbundet til “exelica.com”
- Installation af nye WordPress-plugins og -temaer på websitet
Fordi den kritiske fejl fortsat er uforbedret og så let at udnytte, anbefaler WordFence, at Ultimate Member-plugin’et fjernes øjeblikkeligt.
Wordfence forklarer, at selv ikke den firewall-regel, som det specifikt udviklede for at beskytte sine klienter mod denne trussel, dækker alle potentielle udnyttelsesscenarier, så fjernelse af plugin’et, indtil dets leverandør løser problemet, er den eneste forsigtige handling.
Hvis et websted findes at være blevet kompromitteret, baseret på de IoC’er, der er delt ovenfor, vil det ikke være nok blot at fjerne plugin’et for at afhjælpe risikoen.
I disse tilfælde skal webstedsejere udføre komplette malware-scanninger for at fjerne alle rester af kompromiset, såsom de falske admin-konti og eventuelle bagdøre, de har oprettet.
Sårbarheden omfatter både de WordPress kunder vi administrerer på kendte webhotel udbydere og via vor egen WordPress Server Hosting Center.
Kilde: Wordfence m.fl.
Fotokredit: WordPress
