هکرها از آسیب پذیری روز صفر در پلاگین Ultimate Member برای وردپرس با بیش از 200 هزار نصب سو استفاده کردهاند.
به گزارش تکناک، آنها با نادیده گرفتن اقدامات امنیتی و ثبتنام حساب مدیریتی جعلی، به کنترل سایتها دسترسی پیدا کردهاند. Ultimate Member یک پلاگین عضویت و پروفایل کاربری است که ثبت نام و ساخت جوامع در سایتهای وردپرس را آسان میکند و در حال حاضر بیش از 200 هزار نصب فعال دارد.
این آسیبپذیری با شناسه CVE-2023-3460 و امتیاز CVSS v3.1 برابر 9.8 (“critical”)، تمام نسخههای پلاگین Ultimate Member، از جمله آخرین نسخه آن 2.6.6 را تحت تأثیر قرار میدهد.
اگرچه توسعهدهندگان در نسخههای 2.6.3، 2.6.4، 2.6.5 و 2.6.6 سعی کردند با اصلاح این نقص مشکل را برطرف کنند، اما هنوز راههایی برای بهرهبرداری از آسیبپذیری وجود دارد. توسعهدهندگان گفتهاند که در حال ادامه کار برای رفع مشکل باقیمانده هستند و امیدوارند به زودی یک بهروزرسانی جدید را منتشر کنند.
یکی از توسعهدهندگان Ultimate Member نوشت: ما از نسخه 2.6.3 که یکی از مشتریان ما گزارش داد، به دنبال رفع مشکلات مربوط به این آسیبپذیری هستیم.
نسخههای 2.6.4، 2.6.5 و 2.6.6 به طور جزئی این آسیبپذیری را بستهاند، اما همچنان در حال همکاری با تیم WPScan هستیم تا بهترین نتیجه را بدست آوریم. همچنین گزارش آنها با تمام جزئیات لازم به دست ما رسیده است.
تمامی نسخههای قبلی آسیبپذیر هستند، بنابراین به شدت توصیه میکنیم وبسایتهای خود را به نسخه 2.6.6 ارتقا دهید و برای بهدست آوردن بهروزرسانیهای امنیتی و ویژگیهای جدید در آینده به روزرسانیهای منتشر شده توجه کنید.
حملاتی که از CVE-2023-3460 بهره میبرند
حملاتی که از این روز صفر بهره بردهاند، توسط متخصصان امنیت وب سایت در Wordfence کشف شدند، که هشدار میدهند عوامل تهدید کننده با استفاده از فرمهای ثبت نام پلاگین، برای تنظیم مقادیر meta کاربر دلخواه در حسابهای خود از آن سوء استفاده میکنند.
به طور خاص، مهاجمان مقدار meta کاربر “wp_capabilities” را تنظیم میکنند تا نقش کاربر خود را به عنوان مدیر تعریف کنند و به آنها دسترسی کامل به سایت آسیبپذیر را محقق کنند.
به گفته Wordfence، این پلاگین دارای یک لیست سیاه برای کلیدهایی است که کاربران نباید قادر به بهروزرسانی آنها باشند؛ با این حال، به طور آسان میتوان این تدابیر حفاظتی را از بین برد.
سایتهای وردپرسی که در این حملات با CVE-2023-3460 هک شدهاند، موارد زیر را نشان میدهند:
- ظاهر شدن حساب مدیر جدید در وبسایت
- استفاده از نامهای کاربری wpenginer، wpadmins، wpengine_backup، se_brutal، segs_brutal
- ثبت دسترسی آیپیهای مخرب به صفحه ثبت نام Ultimate Member
- ثبت دسترسی از 146.70.189.245، 103.187.5.128، 103.30.11.160، 103.30.11.146 و 172.70.147.176
- ظاهر شدن یک حساب کاربری با آدرس ایمیل مرتبط با “com”
- نصب پلاگینها و پوستههای وردپرس جدید در سایت.
با توجه به اینکه نقص اساسی هنوز بدون تعمیر باقی مانده است و به آسانی قابل بهرهبرداری است، WordFence توصیه میکند که پلاگین Ultimate Member بلافاصله حذف شود.
WordFence توضیح میدهد که حتی قانون فایروالی که به طور خاص برای محافظت از مشتریان خود در برابر این تهدید توسعه داده شده است، تمام سناریوهای بهرهبرداری ممکن را پوشش نمیدهد، بنابراین حذف پلاگین تا زمانی که فروشنده مشکل را بررسی و رفع کند، تنها راهکار احتیاطی است.
اگر سایتی پیدا شود که مورد هک قرار گرفته است، براساس IoCs در بالا، حذف پلاگین برای رفع خطر کافی نخواهد بود.
در این حالت، صاحبان وبسایت باید اسکن کامل بد افزار را اجرا کنند تا هر گونه پیامدهای باقیمانده از هک را مانند حسابهای مدیریتی جعلی و هر راه دیگری را از بین ببرند.