Xakep #305. Многошаговые SQL-инъекции
Хакеры используют уязвимость нулевого дня в плагине Ultimate Member для повышения привилегий. С помощью этого бага злоумышленники взламывают сайты, обходя защиту, и создают новые учетные записи администраторов.
Плагин Ultimate Member предназначен для облегчения регистрации и создания сообществ на WordPress-сайтах, и в настоящее время у него насчитывается более 200 000 активных установок.
Уязвимость, которую уже взяли на вооружение хакеры, получила идентификатор CVE-2023-3460 и оценку 9,8 балла по шкале CVSS, то есть считается критической. Проблема влияет на все версии Ultimate Member, включая последнюю версию 2.6.6.
Хотя изначально разработчики пытались исправить уязвимость в версиях 2.6.3, 2.6.4, 2.6.5 и 2.6.6, пока закрыть ее пока полностью не удалось. Авторы плагина заявляют, что продолжают работать над решением оставшихся проблем и надеются выпустить новый патч в ближайшее время.
«Версии 2.6.4, 2.6.5, 2.6.6 частично исправляют уязвимость, но мы с командой WPScan все еще работаем над достижением наилучшего результата. Все предыдущие версии [плагина] уязвимы, поэтому мы настоятельно рекомендуем обновить ваши сайты до версии 2.6.6 и следить за обновлениями в будущем, чтобы получить последние улучшения безопасности и функциональности», — пишут разработчики.
Атаки на уязвимость в Ultimate Member были обнаружены специалистами Wordfence, которые предупреждают, что злоумышленники используют баг в регистрационной форме плагина для установки произвольных мета-значений для своих учетных записях.
В частности, хакеры устанавливают мета-значение wp_capabilities, чтобы присвоить себе роль администратора, что предоставляет им полный доступ к уязвимому ресурсу. У плагина есть черный список ключей, которые пользователям нельзя обновлять, однако исследователи пишут, что обойти эту защитную меру совсем нетрудно.
Сайты, взломанные с использованием CVE-2023-3460, будут иметь следующие индикаторы компрометации:
- появление новых учетных записей администраторов на сайте;
- использование имен пользователей wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal;
- логи, показывающие, что IP-адреса, известные как вредоносные, обращались к странице регистрации Ultimate Member;
- логи, зафиксировавшие доступ с 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 и 172.70.147.176;
- появление учетной записи с адресом электронной почты, связанным с exelica.com;
- установка новых плагинов и тем на сайт.
Поскольку критическая уязвимость остается неисправленной и ее крайне легко использовать, WordFence рекомендует всем администраторам немедленно удалить плагин Ultimate Member. Эксперты объясняют, что даже правило брандмауэра, специально разработанное для защиты от этой угрозы, не охватывает все возможные сценарии эксплуатации бага, поэтому пока удаление плагина остается единственным возможным решением.