До 200 000 уебсайта на WordPress са изложени на риск от постоянни атаки, използващи критична непоправена уязвимост в сигурността на плъгина Ultimate Member.
Недостатъкът, проследен като CVE-2023-3460 (CVSS оценка: 9,8), засяга всички версии на плъгина Ultimate Member, включително най-новата версия (2.6.6), която беше пусната на 29 юни 2023 г.
Ultimate Member е популярна приставка, която улеснява създаването на потребителски профили и общности в сайтове на WordPress. Тя също така предоставя функции за управление на акаунти.
„Това е много сериозен проблем: неавтентифицирани нападатели могат да се възползват от тази уязвимост, за да създадат нови потребителски акаунти с административни привилегии, което им дава възможност да поемат пълен контрол над засегнатите сайтове“, се казва в предупреждението на фирмата за сигурност на WordPress WPScan.
Въпреки че подробностите за недостатъка не се съобщават поради активна злоупотреба, той произтича от неадекватна логика на блок-листа, въведена с цел промяна на потребителската метастойност wp_capabilities на нов потребител до тази на администратор и получаване на пълен достъп до сайта.
„Въпреки че плъгинът има предварително зададен списък със забранени ключове, които потребителят не би трябвало да може да актуализира, в уязвимите версии на плъгина има тривиални начини за заобикаляне на въведените филтри, като например използване на различни падежи, наклонени черти и кодиране на символи в предоставената мета ключова стойност“, казва изследователят от Wordfence Клои Чембърланд.
Проблемът излезе наяве, след като се появиха съобщения за добавяне на нелоялни администраторски акаунти в засегнатите сайтове, което накара поддръжащите плъгина да издадат частични поправки във версии 2.6.4, 2.6.5 и 2.6.6. Очаква се в близките дни да бъде пусната нова актуализация.
„Уязвимост за повишаване на привилегиите, използвана чрез UM Forms“, се казва в бележките към изданието на Ultimate Member. „Известна в дивата природа, тази уязвимост позволяваше на непознати да създават потребители на WordPress на ниво администратор.“
WPScan обаче посочи, че кръпките са непълни и че е открил многобройни методи за тяхното заобикаляне, което означава, че проблемът все още може да се използва активно.
При наблюдаваните атаки недостатъкът се използва за регистриране на нови акаунти под имената apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup и wpenginer, за да се качват зловредни плъгини и теми през административния панел на сайта.
На потребителите на Ultimate Member се препоръчва да деактивират плъгина, докато не бъде предоставен подходящ пач, който напълно да запуши дупката в сигурността. Препоръчва се също така да се направи одит на всички потребители на ниво администратор в сайтовете, за да се установи дали не са добавени неоторизирани акаунти.
Авторите на Ultimate Member са пуснали версия 2.6.7 на плъгина на 1 юли, за да отстранят активно експлоатирания недостатък, свързан с повишаване на привилегиите. Като допълнителна мярка за сигурност те също така планират да доставят нова функция в плъгина, която да позволи на администраторите на уебсайтове да нулират паролите на всички потребители.
„2.6.7 въвежда бял списък за метаключовете, които съхраняваме при изпращането на формуляри“, заявиха поддържащите в независима консултация. „2.6.7 също така разделя данните за настройките на формуляра и изпратените данни и ги управлява в 2 различни променливи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.