Os hackers exploram ativamente uma vulnerabilidade de dia zero no plugin WordPress Ultimate Member para aumentar os privilégios: com a ajuda deste bug, invasores hackeiam sites, ignorando a proteção, e crie novas contas de administrador. O Membro Final plugin foi projetado para facilitar o registro e a criação de comunidades em WordPress sites, e atualmente conta com mais de 200,000 instalações ativas.
Vulnerabilidade de 0 dias do plug-in Ultimate Member WordPress
Esse não é o primeiro caso quando um plugin WordPress parece conter uma exploração de dia 0. Em particular, hackers usou malware GoTrim para invadir sites baseados em WP. A escala dos hackers’ interesse em hackear tais sites é confirmado por o número de sites que eles verificaram em busca de vulnerabilidades.
A vulnerabilidade usada na natureza recebeu o identificador CVE-2023-3460 e uma pontuação de 9.8 na escala CVSS. A pontuação máxima é 10, para que você possa entender o quão crítico é. O problema afeta todas as versões do Ultimate Member, incluindo a versão mais recente 2.6.6. Os desenvolvedores inicialmente tentaram corrigir a vulnerabilidade nas versões 2.6.3, 2.6.4, 2.6.5 e 2.6.6. No entanto, parece que a vulnerabilidade reside mais profundamente. Os autores do plugin declaram que continuar a trabalhar na resolução dos problemas restantes e espero lançar um novo patch em um futuro próximo.
Como isso funciona?
Ataques a uma vulnerabilidade no Ultimate Member foram detectados por Cerca de palavras especialistas, que alertam que os criminosos usam um bug no formulário de registro do plugin para definir metavalores arbitrários para suas contas.
Em particular, hackers definem o meta-valor wp_capabilities para atribuir a si mesmos a função de administrador. Obviamente, que lhes dá acesso total ao recurso vulnerável. O plugin possui uma lista negra de chaves que os usuários não podem atualizar, o que pode aliviar o problema. Apesar disso, pesquisadores dizem que é muito fácil contornar esta medida de proteção.
Sites hackeados usando CVE-2023-3460 terá os seguintes indicadores de comprometimento:
- o aparecimento de novos registros administrativos no site;
- uso do wpenginer, wpadmins, wpengine_backup, ele_brutal, segs_brutal;
- registros mostrando que endereços IP conhecidos como maliciosos acessaram a página de registro do Ultimate Member;
- registros que corrigiram o acesso com 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 e 172.70.147.176;
- o aparecimento de um registro com um endereço de e-mail associado a exelica.com;
- instalação de novos plugins e dos do site.
A vulnerabilidade crítica permanece não corrigida e extremamente fácil de usar. WordFence recomenda que todos os administradores removam imediatamente o plugin Ultimate Member. Os especialistas explicam que mesmo as configurações específicas do firewall não cobrem todos os cenários possíveis de exploração. Então por agora, remover o plugin continua sendo a única solução possível.