Segundo especialistas da Wordfence, um falha no plugin WordPress Ultimate Member está sendo explorada por hackers.
O Ultimate Member é um plug-in de perfil de usuário e associação que facilita as inscrições e a criação de comunidades em sites WordPress e atualmente possui mais de 200.000 instalações ativas.
Agora, alguns hackers exploram uma vulnerabilidade zero-day de escalonamento de privilégios no plug-in WordPress ‘Ultimate Member’ para comprometer sites ignorando medidas de segurança e registrando contas de administrador não autorizadas.
Falha no plugin WordPress Ultimate Member está sendo explorada
A falha explorada, rastreada como CVE-2023-3460 e com uma pontuação CVSS v3.1 de 9,8 (“crítica”), afeta todas as versões do plug-in Ultimate Member, incluindo sua versão mais recente, v2.6.6.
Embora os desenvolvedores inicialmente tenham tentado corrigir a falha nas versões 2.6.3, 2.6.4, 2.6.5 e 2.6.6, ainda existem maneiras de explorar a falha.
Os desenvolvedores disseram que continuam trabalhando para resolver o problema restante e esperam lançar uma nova atualização em breve.
“Estamos trabalhando nas correções relacionadas a esta vulnerabilidade desde a versão 2.6.3, quando recebemos um relatório de um de nossos clientes”, postou um dos desenvolvedores do Ultimate Member.
“As versões 2.6.4, 2.6.5, 2.6.6 fecham parcialmente esta vulnerabilidade, mas ainda estamos trabalhando em conjunto com a equipe WPScan para obter o melhor resultado. Também recebemos o relatório com todos os detalhes necessários.”
“Todas as versões anteriores são vulneráveis, por isso recomendamos atualizar seus sites para 2.6.6 e manter as atualizações no futuro para obter os aprimoramentos recentes de segurança e recursos.”
Os ataques que exploram esse dia zero foram descobertos por especialistas em segurança de sites da Wordfence, que alertam que os agentes de ameaças o exploram usando os formulários de registro do plug-in para definir metavalores arbitrários do usuário em suas contas.
Mais especificamente, os invasores definem o metavalor do usuário “wp_capabilities” para definir sua função de usuário como administradores, concedendo-lhes acesso completo ao site vulnerável.
O plug-in possui uma lista de bloqueio para chaves que os usuários não devem poder atualizar; no entanto, ignorar essa medida de proteção é trivial, diz Wordfence.
Sites WordPress hackeados usando CVE-2023-3460 nesses ataques mostrarão os seguintes indicadores:
- Aparecimento de novas contas de administrador no site
- Uso dos nomes de usuário wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
- Registros de log mostrando que IPs sabidamente maliciosos acessaram a página de registro do Ultimate Member
- Registros de log mostrando acesso de 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 e 172.70.147.176
- Exibição de uma conta de usuário com endereço de e-mail associado a “exelica.com”
- Instalação de novos plugins e temas WordPress no site
Como a falha crítica permanece sem correção e é muito fácil de explorar, o WordFence recomenda que o plug-in Ultimate Member seja desinstalado imediatamente.
O Wordfence explica que nem mesmo a regra de firewall desenvolvida especificamente para proteger seus clientes dessa ameaça cobre todos os cenários de exploração em potencial; portanto, remover o plug-in até que seu fornecedor resolva o problema é a única ação prudente.
Se for descoberto que um site foi comprometido, com base nos IoCs compartilhados acima, a remoção do plug-in não será suficiente para remediar o risco.
Nesses casos, os proprietários de sites devem executar verificações completas de malware para eliminar quaisquer resquícios do comprometimento, como contas de administrador não autorizadas e quaisquer backdoors que eles criaram.
Muito bom amigo, vc tem contribuído muito com os usuários do linux.