Hackers exploram falha de plug-in do WordPress sem correção para criar contas secretas de administrador

Hackers exploram falha de plug-in do WordPress sem correção para criar contas secretas de administrador

A falha, rastreada como CVE-2023-3460 (pontuação CVSS: 9,8), afeta todas as versões do plug-in Ultimate Member, incluindo a versão mais recente (2.6.6), lançada em 29 de junho de 2023.

Ultimate Member é um plugin popular que facilita a criação de perfis de usuário e comunidades em sites WordPress. Ele também fornece recursos de gerenciamento de contas.

“Este é um problema muito sério: invasores não autenticados podem explorar essa vulnerabilidade para criar novas contas de usuário com privilégios administrativos, dando-lhes o poder de assumir o controle total dos sites afetados”, disse a empresa de segurança WPScan do WordPress em um alerta.

Embora os detalhes sobre a falha tenham sido retidos devido ao abuso ativo, ela decorre de uma lógica de lista de bloqueio inadequada implementada para alterar o metavalor do usuário wp_capabilities de um novo usuário para o de um administrador e obter acesso total ao site.

“Embora o plug-in tenha uma lista predefinida de chaves banidas, que um usuário não deve ser capaz de atualizar, existem maneiras triviais de ignorar os filtros colocados em prática, como a utilização de vários casos, barras e codificação de caracteres em um valor de meta-chave fornecido em versões vulneráveis ​​do plug-in”, disse a pesquisadora do Wordfence, Chloe Chamberland .

O problema veio à tona depois que relatórios surgiram de contas de administrador não autorizadas sendo adicionadas aos sites afetados, levando os mantenedores do plug-in a emitir correções parciais nas versões 2.6.4, 2.6.5 e 2.6.6. Uma nova atualização deve ser lançada nos próximos dias.

“Uma vulnerabilidade de escalonamento de privilégios usada por meio de UM Forms”, disse o Ultimate Member em suas notas de lançamento. “Conhecido na selva que a vulnerabilidade permitia que estranhos criassem usuários do WordPress em nível de administrador.”

O WPScan, no entanto, apontou que os patches estão incompletos e que encontrou vários métodos para contorná-los, o que significa que o problema ainda pode ser explorado ativamente.

Nos ataques observados, a falha está sendo usada para registrar novas contas com os nomes apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup e wpeginer para fazer upload de plugins e temas maliciosos por meio do painel de administração do site.

Os usuários do Ultimate Member são aconselhados a desativar o plug-in até que um patch adequado que tampe completamente a falha de segurança seja disponibilizado. Também é recomendável auditar todos os usuários de nível de administrador nos sites para determinar se alguma conta não autorizada foi adicionada.

Ultimate Member Versão 2.6.7 lançada

Os autores do Ultimate Member lançaram a versão 2.6.7 do plug-in em 1º de julho para corrigir a falha de escalação de privilégio explorada ativamente. Como medida de segurança adicional, eles também planejam lançar um novo recurso no plug-in para permitir que os administradores do site redefinam as senhas de todos os usuários.

“2.6.7 introduz a lista de permissões para chaves meta que armazenamos durante o envio de formulários”, disseram os mantenedores em um comunicado independente. “2.6.7 também separa dados de configurações de formulário e dados enviados e os opera em 2 variáveis ​​diferentes.”