Hackers exploram vulnerabilidade zero-day no plugin Ultimate Member do WordPress com 200 mil instalações
3 de Julho de 2023

Hackers estão explorando uma vulnerabilidade de escalonamento de privilégios zero-day no plugin 'Ultimate Member' do WordPress para comprometer sites, contornando as medidas de segurança e registrando contas de administrador falsas.

Ultimate Member é um plugin de perfil de usuário e associação que facilita cadastros e construção de comunidades em sites do WordPress, e atualmente possui mais de 200.000 instalações ativas.

A falha explorada, rastreada como CVE-2023-3460 e com uma pontuação CVSS v3.1 de 9.8 ("crítica"), afeta todas as versões do plugin Ultimate Member, incluindo a versão mais recente, v2.6.6.

Embora os desenvolvedores tenham tentado corrigir a falha nas versões 2.6.3, 2.6.4, 2.6.5 e 2.6.6, ainda existem maneiras de explorar a falha.

Os desenvolvedores disseram que estão trabalhando para resolver o problema restante e esperam lançar uma nova atualização em breve.

"Estamos trabalhando nas correções relacionadas a essa vulnerabilidade desde a versão 2.6.3, quando recebemos um relatório de um de nossos clientes", publicou um dos desenvolvedores do Ultimate Member.

"As versões 2.6.4, 2.6.5, 2.6.6 fecham parcialmente essa vulnerabilidade, mas estamos trabalhando em conjunto com a equipe WPScan para obter o melhor resultado.

Também recebemos o relatório deles com todos os detalhes necessários."

"Todas as versões anteriores são vulneráveis, então recomendamos fortemente que você atualize seus sites para a versão 2.6.6 e mantenha as atualizações futuras para obter as últimas melhorias de segurança e recursos."

Os ataques que exploram esse zero-day foram descobertos por especialistas em segurança de sites do Wordfence, que alertam que os atores maliciosos o exploram usando os formulários de registro do plugin para definir valores arbitrários de metadados de usuário em suas contas.

Mais especificamente, os atacantes definem o valor de metadados do usuário "wp_capabilities" para definir sua função de usuário como administradores, concedendo a eles acesso completo ao site vulnerável.

O plugin possui uma lista de bloqueio para chaves que os usuários não deveriam poder atualizar; no entanto, contornar essa medida de proteção é trivial, diz o Wordfence.

Devido à gravidade da falha não corrigida e à facilidade de exploração, o WordFence recomenda que o plugin Ultimate Member seja desinstalado imediatamente.

O Wordfence explica que nem mesmo a regra de firewall que foi desenvolvida especificamente para proteger seus clientes dessa ameaça cobre todos os cenários de exploração possíveis, portanto, remover o plugin até que o fornecedor resolva o problema é a única ação prudente.

Se um site for encontrado comprometido, com base nos IoCs compartilhados acima, remover o plugin não será suficiente para remediar o risco.

Nesses casos, os proprietários do site devem executar scanners de malware completos para eliminar quaisquer vestígios comprometidos, como as contas de administrador falsas e quaisquer backdoors que tenham sido criados.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...