La vulnerabilità del plugin Ultimate Member WordPress, con oltre 200.000 installazioni attive, viene attivamente sfruttata su siti WordPress senza patch. Si dice che la vulnerabilità richieda uno sforzo banale per aggirare i filtri di sicurezza.
Vulnerabilità del plug-in Ultimate Member
Il plug-in WordPress Ultimate Member consente agli editori di creare comunità online sui loro siti Web.
Il plug-in funziona creando un processo senza attriti per le iscrizioni degli utenti e la creazione di profili utente. È un plugin popolare soprattutto per i siti di appartenenza.
La versione gratuita del plugin ha un generoso set di funzionalità tra cui:
Anche i profili utente front-end, la registrazione, l'accesso e gli editori possono creare directory dei membri.
Il plug-in conteneva anche un difetto critico che consentiva a un visitatore del sito di creare profili di membri con privilegi essenzialmente a livello di amministratore.
Il database di sicurezza WPScan descrive la gravità della vulnerabilità:
“Il plug-in non impedisce ai visitatori di creare account utente con capacità arbitrarie, consentendo di fatto agli aggressori di creare account amministratore a piacimento.
Questo viene attivamente sfruttato in natura.
Aggiornamento di sicurezza non riuscito
La vulnerabilità è stata scoperta alla fine di giugno 2023 e gli editori di Ultimate Member hanno risposto rapidamente con una patch per chiudere la vulnerabilità.
Quella patch per la vulnerabilità è stata rilasciata nella versione 2.6.5, pubblicata il 28 giugno.
Il registro delle modifiche ufficiale per il plug-in ha dichiarato:
"Risolto: una vulnerabilità di escalation dei privilegi utilizzata tramite i moduli di messaggistica unificata.
Noto in natura che la vulnerabilità ha permesso agli estranei di creare utenti WordPress a livello di amministratore.
Aggiorna immediatamente e controlla tutti gli utenti a livello di amministratore sul tuo sito web.
Tuttavia, tale correzione non ha risolto completamente la vulnerabilità e gli hacker hanno continuato a sfruttarla sui siti Web.
I ricercatori di sicurezza di Wordfence hanno analizzato il plug-in e il 29 giugno hanno stabilito che la patch in realtà non funzionava, descrivendo le loro scoperte in un post sul blog:
"Dopo ulteriori indagini, abbiamo scoperto che questa vulnerabilità viene sfruttata attivamente e non è stata adeguatamente corretta nell'ultima versione disponibile, che è la 2.6.6 al momento della stesura di questo documento."
Il problema era così grave che Wordfence ha descritto lo sforzo necessario per hackerare il plugin come banale.
Wordfence ha spiegato:
"Sebbene il plug-in abbia un elenco definito preimpostato di chiavi vietate, che un utente non dovrebbe essere in grado di aggiornare, ci sono modi banali per aggirare i filtri messi in atto come l'utilizzo di vari casi, barre e codifica dei caratteri in un valore di meta chiave fornito nelle versioni vulnerabili del plugin.
Ciò consente agli aggressori di impostare il meta valore utente wp_capabilities, che controlla il ruolo dell'utente sul sito, su "amministratore".
Ciò garantisce all'attaccante l'accesso completo al sito vulnerabile quando viene sfruttato con successo.
Il livello utente di Amministratore è il livello di accesso più alto di un sito WordPress.
Ciò che rende questo exploit particolarmente preoccupante è che si tratta di una classe chiamata "Escalation dei privilegi non autenticati", il che significa che un hacker non ha bisogno di alcun livello di accesso al sito Web per hackerare il plug-in.
L'ultimo membro si scusa
Il team di Ultimate Member ha pubblicato scuse pubbliche ai propri utenti in cui hanno fornito un resoconto completo di tutto ciò che è accaduto e di come hanno risposto.
Va notato che la maggior parte delle aziende rilascia una patch e tace. Quindi è encomiabile e responsabile che Ultimate Member sia sincero con i propri clienti in merito agli incidenti di sicurezza.
Ultimate Member ha scritto:
“In primo luogo, vogliamo scusarci per queste vulnerabilità nel codice del nostro plug-in e per qualsiasi sito Web che è stato colpito e per la preoccupazione che ciò potrebbe aver causato dall'apprendimento delle vulnerabilità.
Non appena siamo stati informati della scoperta di vulnerabilità di sicurezza nel plug-in, abbiamo immediatamente iniziato ad aggiornare il codice per correggere le vulnerabilità.
Abbiamo rilasciato diversi aggiornamenti dalla divulgazione mentre lavoravamo sulle vulnerabilità e vogliamo ringraziare enormemente il team di WPScan per aver fornito assistenza e guida in merito dopo che si sono messi in contatto per rivelare le vulnerabilità.
Gli utenti del plug-in sono invitati ad aggiornare immediatamente
I ricercatori di sicurezza di WPScan invitano tutti gli utenti del plug-in ad aggiornare immediatamente i propri siti alla versione 2.6.7.
Un annuncio speciale dalle note di WPScan:
Campagna di hacking che sfrutta attivamente il plug-in Ultimate Member
“Una nuova versione, 2.6.7, è stata rilasciata questo fine settimana e risolve il problema.
Se usi Ultimate Member, aggiorna a questa versione il prima possibile.
Questo è un problema molto serio: aggressori non autenticati possono sfruttare questa vulnerabilità per creare nuovi account utente con privilegi amministrativi, dando loro il potere di assumere il controllo completo dei siti interessati.
Questa vulnerabilità è valutata 9,8 su una scala da 1 a 10, dove dieci rappresenta il livello più grave.
Si consiglia vivamente agli utenti del plug-in di eseguire immediatamente l'aggiornamento.
Immagine in primo piano di Shutterstock/pedrorsfernandes
