Хакеры нацелились на 0-day для повышения привилегий в плагине | SecAtor

Хакеры нацелились на 0-day для повышения привилегий в плагине WordPress под названием Ultimate Member для массовой компрометации сайтов.

Плагин Ultimate Member для регистрации и создания сообществ на сайтах WordPress имеет более 200 000 активных установок.

CVE-2023-3460 имеет оценку CVSS 9,8 и влияет на все версии подключаемого модуля Ultimate Member, включая самую последнюю v2.6.6.

Несмотря на все попытки разработчиков исправить уязвимость в версиях 2.6.3, 2.6.4, 2.6.5 и 2.6.6, до сих пор находятся способы ее использования. Тем не менее, разработчики продолжают работу над решением и надеются выпустить новое обновление в ближайшее время.

Атаки были обнаружены исследователями Wordfence, которые заметили, как злоумышленники устанавливают мета-значение пользователя «wp_capabilities» для получения прав администратора и полного доступа к уязвимому сайту.

У плагина есть черный список ключей, которые пользователи не должны обновлять; однако обойти эту меру защиты тривиально, говорит Wordfence.

Поскольку критический недостаток остается неисправленным, WordFence рекомендует немедленно удалить модуль Ultimate Member.

Wordfence объясняет, что правила брандмауэра не охватывают все возможные сценарии эксплуатации, поэтому удаление плагина остается единственным способом защиты.

Причем если сайт был уже скомпрометирован, удаления плагина будет недостаточно для устранения риска. В этих случаях владельцы должны выполнить полное сканирование на наличие вредоносных программ и деактивизировать мошеннические админские учетки.