Zero-day în cadrul plugin-ului Ultimate Member din WordPress

Ultimate Member din WordPress este exploatată de atacatori pentru a compromite site-uri web prin ocolirea măsurilor de securitate și înregistratarea de conturi false cu drepturi de administrator.

Ultimate Member este un plugin de tip user profile și membership care facilitează înregistrarea și crearea de comunități pe site-urile WordPress, iar în prezent are peste 200.000 de instalări active.

Vulnerabilitatea critică identificată ca CVE-2023-3460 (scor CVSS 9,8), afectează toate versiunile plugin-ului Ultimate Member, inclusiv cea mai recentă versiune, v2.6.6.

Vulnerabilitatea poate fi exploatată prin utilizarea formularului de înregistrare pentru a seta valori arbitrare pentru metadatele utilizatorilor. Mai specific să seteze wp_capabilities cu rolul de administrator, acordându-și acces complet la site-ul vulnerabil.

Site-urile WordPress  care au vulnerabilitatea CVE-2023-3460 exploatată vor afișa următorii indicatori:

• Noi conturi de administrator în cadrul site-ului;
• Folosirea numelor de utilizator wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal;
• Log-uri care indică faptul că IP-uri cunoscute ca fiind malițioase au accesat pagina de înregistrare Ultimate Member;
• Log-uri care indică accesul de la 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 și 172.70.147.176;
• Apariția unui cont de utilizator cu o adresă de e-mail asociată cu exelica.com;
• Instalarea de noi plugin-uri și teme WordPress pe site.

Ca modalitate de remediere a fost lansată versiunea 2.6.7 a plugin-ului Ultimate Member, prin urmare este recomandată realizarea actualizării la această versiune.

Sursă: https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-ultimate-member-wordpress-plugin-with-200k-installs/