Čak 200.000 WordPress web stranica je izloženo riziku od stalnih napada koji iskorištavaju kritičnu nezakrpljenu sigurnosnu ranjivost u dodatku Ultimate Member.
Greška, praćena kao CVE-2023-3460 (CVSS rezultat: 9,8), utiče na sve verzije dodatka Ultimate Member, uključujući najnoviju verziju (2.6.6) koja je objavljena 29. juna 2023. godine.
Ultimate Member je popularan dodatak koji olakšava kreiranje korisničkih profila i zajednica na WordPress stranicama. Takođe pruža funkcije upravljanja nalogom.
“Ovo je veoma ozbiljan problem, neautorizovani napadači mogu iskoristiti ovu ranjivost za kreiranje novih korisničkih naloga sa administrativnim privilegijama, dajući im moć da preuzmu potpunu kontrolu nad pogođenim sajtovima” navodi se u upozorenju WPScan-a.
Iako su detalji o grešci zadržani zbog aktivne zloupotrebe, ona proizilazi iz neadekvatne logike liste blokova koja je postavljena da bi se promijenila wp_capabilities meta vrijednost novog korisnika u onu administratora i dobio potpuni pristup stranici.
“Dok dodatak ima unaprijed definisanu listu zabranjenih ključeva, koje korisnik ne bi trebao biti u mogućnosti ažurirati, postoje trivijalni načini da se zaobiđu postavljeni filteri kao što je korištenje različitih velikih i malih slova, kose crte i kodiranja znakova u isporučenoj vrijednosti meta ključa u ranjivim verzijama dodatka” rekla je istraživačica Wordfence-a Chloe Chamberland.
Problem je izašao na vidjelo nakon što su se pojavili izvještaji o dodavanju lažnih administratorskih naloga na pogođene stranice, što je navelo održavaoce dodataka da izdaju djelomične popravke u verzijama 2.6.4, 2.6.5 i 2.6.6. Očekuje se da će novo ažuriranje biti objavljeno u narednim danima.
“Ranjivost eskalacije privilegija koja se koristi kroz UM Forms” rekao je Ultimate Member u svojim bilješkama. “U praksi je poznato da je ranjivost omogućila strancima da kreiraju korisnike WordPress-a na administratorskom nivou.”
WPScan je, međutim, istakao da su zakrpe nekompletne i da je pronašao brojne metode da ih zaobiđe, što znači da se problem i dalje aktivno može iskoristiti.
U uočenim napadima, mana se koristi za registraciju novih naloga pod imenima apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup i wpenginer za učitavanje malicizonih dodataka i tema preko administrativnog panela stranice.
Korisnicima Ultimate Member-a se savjetuje da onemoguće dodatak dok ne bude dostupna odgovarajuća zakrpa koja će u potpunosti začepiti sigurnosnu rupu. Takođe se preporučuje revizija svih korisnika na nivou administratora na web stranicama kako bi se utvrdilo da li su dodani neki neovlašteni računi.
Objavljena verzija Ultimate Member 2.6.7
Autori Ultimate Member-a su 1. jula objavili verziju 2.6.7 dodatka kako bi se pozabavili aktivno iskorištavanim propustom eskalacije privilegija. Kao dodatnu sigurnosnu mjeru, takođe planiraju da isporuče novu funkciju unutar dodatka kako bi omogućili administratorima web stranice da resetuju lozinke za sve korisnike.
“2.6.7 uvodi white listu za meta ključeve koje pohranjujemo dok šaljemo obrasce” rekli su održavaoci u nezavisnom savjetu. “2.6.7 takođe razdvaja podatke o postavkama obrasca i dostavljene podatke i upravlja njima u 2 različite varijable.”
Izvor: The Hacker News