شناسایی یک آسیب پذیری خطرناک در وردپرس

هکرها از آسیب پذیری روز صفر در پلاگین Ultimate Member برای وردپرس با بیش از 200 هزار نصب سو استفاده کرده‌اند.

به گزارش تکناک، آنها با نادیده گرفتن اقدامات امنیتی و ثبت‌نام حساب مدیریتی جعلی، به کنترل سایت‌ها دسترسی پیدا کرده‌اند. Ultimate Member یک پلاگین عضویت و پروفایل کاربری است که ثبت نام و ساخت جوامع در سایت‌های وردپرس را آسان می‌کند و در حال حاضر بیش از 200 هزار نصب فعال دارد.

این آسیب‌پذیری با شناسه CVE-2023-3460 و امتیاز CVSS v3.1 برابر 9.8 (“critical”)، تمام نسخه‌های پلاگین Ultimate Member، از جمله آخرین نسخه آن 2.6.6 را تحت تأثیر قرار می‌دهد.

اگرچه توسعه‌دهندگان در نسخه‌های 2.6.3، 2.6.4، 2.6.5 و 2.6.6 سعی کردند با اصلاح این نقص مشکل را برطرف کنند، اما هنوز راه‌هایی برای بهره‌برداری از آسیب‌پذیری وجود دارد. توسعه‌دهندگان گفته‌اند که در حال ادامه کار برای رفع مشکل باقی‌مانده هستند و امیدوارند به زودی یک به‌روزرسانی جدید را منتشر کنند.

یکی از توسعه‌دهندگان Ultimate Member نوشت: ما از نسخه 2.6.3 که یکی از مشتریان ما گزارش داد، به دنبال رفع مشکلات مربوط به این آسیب‌پذیری هستیم.

نسخه‌های 2.6.4، 2.6.5 و 2.6.6 به طور جزئی این آسیب‌پذیری را بسته‌اند، اما همچنان در حال همکاری با تیم WPScan هستیم تا بهترین نتیجه را بدست آوریم. همچنین گزارش آن‌ها با تمام جزئیات لازم به دست ما رسیده است.

تمامی نسخه‌های قبلی آسیب‌پذیر هستند، بنابراین به شدت توصیه می‌کنیم وب‌سایت‌های خود را به نسخه 2.6.6 ارتقا دهید و برای به‌دست آوردن به‌روزرسانی‌های امنیتی و ویژگی‌های جدید در آینده به روزرسانی‌های منتشر شده توجه کنید.

حملاتی که از CVE-2023-3460 بهره می‌برند

حملاتی که از این روز صفر بهره برده‌اند، توسط متخصصان امنیت وب سایت در Wordfence کشف شدند، که هشدار می‌دهند عوامل تهدید کننده با استفاده از فرم‌های ثبت نام پلاگین، برای تنظیم مقادیر meta کاربر دلخواه در حساب‌های خود از آن سوء استفاده می‌کنند.

به طور خاص، مهاجمان مقدار meta کاربر “wp_capabilities” را تنظیم می‌کنند تا نقش کاربر خود را به عنوان مدیر تعریف کنند و به آن‌ها دسترسی کامل به سایت آسیب‌پذیر را محقق کنند.

به گفته Wordfence، این پلاگین دارای یک لیست سیاه برای کلیدهایی است که کاربران نباید قادر به به‌روزرسانی آن‌ها باشند؛ با این حال، به طور آسان می‌توان این تدابیر حفاظتی را از بین برد.

سایت‌های وردپرسی که در این حملات با CVE-2023-3460 هک شده‌اند، موارد زیر را نشان می‌دهند:

• ظاهر شدن حساب مدیر جدید در وب‌سایت
• استفاده از نام‌های کاربری wpenginer، wpadmins، wpengine_backup، se_brutal، segs_brutal
• ثبت دسترسی آی‌پی‌های مخرب به صفحه ثبت نام Ultimate Member
• ثبت دسترسی از 146.70.189.245، 103.187.5.128، 103.30.11.160، 103.30.11.146 و 172.70.147.176
• ظاهر شدن یک حساب کاربری با آدرس ایمیل مرتبط با “com”
• نصب پلاگین‌ها و پوسته‌های وردپرس جدید در سایت.

با توجه به اینکه نقص اساسی هنوز بدون تعمیر باقی مانده است و به آسانی قابل بهره‌برداری است، WordFence توصیه می‌کند که پلاگین Ultimate Member بلافاصله حذف شود.

WordFence توضیح می‌دهد که حتی قانون فایروالی که به طور خاص برای محافظت از مشتریان خود در برابر این تهدید توسعه داده شده است، تمام سناریوهای بهره‌برداری ممکن را پوشش نمی‌دهد، بنابراین حذف پلاگین تا زمانی که فروشنده مشکل را بررسی و رفع کند، تنها راهکار احتیاطی است.

اگر سایتی پیدا شود که مورد هک قرار گرفته است، براساس IoCs در بالا، حذف پلاگین برای رفع خطر کافی نخواهد بود.

در این حالت، صاحبان وب‌سایت باید اسکن کامل بد افزار را اجرا کنند تا هر گونه پیامدهای باقی‌مانده از هک را مانند حساب‌های مدیریتی جعلی و هر راه دیگری را از بین ببرند.