Зловмисники використовують критичну вразливість у плагіні Ultimate Member для створення адміністративних облікових записів на вебсайтах, побудованих на WordPress, повідомляє Security Week.
Плагін призначений для спрощення реєстрації та входу користувачів на сайтах і дає змогу власникам сайтів додавати профілі користувачів, визначати ролі, створювати власні поля форми, довідники учасників і багато іншого.
Вразливість, відома як CVE-2023-3460 (CVSS-оцінка 9,8), дозволяє атакерам додавати нові облікові записи користувачів до групи адміністраторів.
Деякі користувачі плагіна помітили створення підробних облікових записів і повідомили про це минулого тижня, але атаки, схоже, тривають принаймні з початку червня.
За даними компанії з безпеки WordPress, WPScan, проблема полягає в конфлікті між логікою блокування плагіна і тим способом, яким WordPress обробляє ключі метаданих.
Ultimate Member використовує списки блокування для зберігання ключів метаданих, які користувачі не повинні змінювати. Вказані списки перевіряють кожного разу, коли користувачі намагаються зареєструвати ці ключі при створенні облікових записів.
Через різницю в роботі між плагіном і WordPress зловмисники змогли оновити ключі метаданих, у тому числі той, що зберігає роль та повноваження користувача, пояснює WPScan. Компанія надає показники компрометації (IoC), пов’язані з поміченими атаками.
Це дало змогу зловмисникам реєструвати облікові записи користувачів з роллю адміністратора, і щонайменше два власники сайтів помітили та повідомили про підозрілу активність.
Розробники плагіна описують проблему як баг привілейованого підвищення. Вони намагалися виправити її у двох останніх версіях Ultimate Member, але, як повідомляється, повністю усунути проблему їм не вдалося. Однак розробники плагіна визнали незаконну експлуатацію.
Власникам сайтів рекомендується вимкнути плагін Ultimate Member, щоб запобігти використанню вразливості. Також рекомендується перевірити всі ролі адміністраторів на власних сайтах, щоб виявити підроблені облікові записи.