Met meer dan 200.000 actieve installaties wordt de kwetsbaarheid van de Ultimate Member WordPress-plug-in actief misbruikt op niet-gepatchte WordPress-sites. De kwetsbaarheid zou een verwaarloosbare inspanning vergen om beveiligingsfilters te omzeilen.
Kwetsbaarheid in de Ultimate Member-plug-in
Met de Ultimate Member WordPress-plug-in kunnen uitgevers online communities op hun websites creëren. De plug-in werkt door een probleemloze gebruikersregistratie en het maken van gebruikersprofielen te creëren. Dit is een populaire plug-in, vooral voor lidmaatschapssites. De gratis versie van de plug-in wordt geleverd met een uitgebreide reeks functies, waaronder: front-end gebruikersprofielen, registratie, login en uitgevers kunnen ook ledenlijsten maken. De plug-in had ook een kritieke fout waardoor een sitebezoeker ledenprofielen kon maken met in wezen beheerdersrechten. De beveiligingsdatabase WPScan beschrijft de ernst van de kwetsbaarheid: “De plug-in weerhoudt bezoekers er niet van om gebruikersaccounts met willekeurige mogelijkheden aan te maken, waardoor aanvallers naar believen beheerdersaccounts kunnen maken. Het wordt actief geëxploiteerd in het wild.
Kan de beveiliging niet updaten
De kwetsbaarheid werd ontdekt in 2023. in juni aan het einde, en de Ultimate Member-uitgevers reageerden snel en losten de kwetsbaarheid op. Deze kwetsbaarheidspatch is uitgebracht in versie 2.6.5 die op 28 juni is gepubliceerd. In de officiële changelog van de plug-in stond: “Opgelost: kwetsbaarheid voor escalatie van privileges gebruikt met UM-formulieren. Het is bekend dat de kwetsbaarheid vreemden in staat heeft gesteld om WordPress-gebruikers op admin-niveau aan te maken. Update en verifieer onmiddellijk alle gebruikers op beheerdersniveau op uw site. Deze patch loste het beveiligingslek echter niet volledig op en hackers bleven het op websites gebruiken. Wordfence-beveiligingsonderzoekers analyseerden de plug-in en op 29 juni. ontdekte dat de patch niet echt werkte en beschreef hun bevindingen in een blogpost: “Bij verder onderzoek ontdekten we dat deze kwetsbaarheid actief wordt misbruikt en niet is misbruikt. correct gepatcht in de nieuwste beschikbare versie, die op het moment van schrijven 2.6.6 is. Het probleem was zo ernstig dat Wordfence pogingen om de plug-in te kraken als triviaal omschreef. Wordfence legde uit: “Hoewel de plug-in een vooraf gedefinieerde lijst met verboden sleutels heeft die de gebruiker niet zou moeten kunnen bijwerken, zijn er triviale manieren om de geïmplementeerde filters te omzeilen, zoals het gebruik van verschillende hoofdletters, backslashes en tekencoderingen in de geleverde. metasleutelwaarde in kwetsbare versies van de plug-in. Hierdoor kunnen aanvallers de gebruikersmetawaarde wp_capabilities, die de rol van de gebruiker op de site bepaalt, instellen op “beheerders”. Dit geeft een aanvaller volledige toegang tot een kwetsbare website wanneer deze met succes wordt uitgebuit. Het admin-gebruikersniveau is het hoogste toegangsniveau voor een WordPress-site. Van bijzonder belang bij deze exploit is dat deze klasse “niet-geverifieerde privilege-escalatie” wordt genoemd, wat betekent dat de hacker geen toegang op siteniveau nodig heeft om de plug-in te compromitteren.
Het eindlid verontschuldigt zich
Het Ultimate Member-team heeft een openbare verontschuldiging aangeboden aan hun gebruikers waarin ze alles beschrijven wat er is gebeurd en hoe ze hebben gereageerd. Opgemerkt moet worden dat de meeste bedrijven een patch uitbrengen en zwijgen. Het is dan ook prijzenswaardig en verantwoord dat Ultimate Member haar klanten vooraf informeert over beveiligingsincidenten. Ultimate Member schreef: “Ten eerste willen we onze excuses aanbieden voor deze kwetsbaarheden in onze plug-incode en voor elke site die is getroffen en de angst die dit kan hebben veroorzaakt bij het leren van de kwetsbaarheid. Zodra we ons bewust werden van beveiligingsproblemen in de plug-in, zijn we onmiddellijk begonnen met het updaten van de code om de kwetsbaarheden te verhelpen. Na de onthulling hebben we verschillende updates uitgebracht terwijl we aan de kwetsbaarheid werkten, en we willen het WPScan-team hartelijk bedanken voor hun hulp en begeleiding toen ze werden gecontacteerd om de kwetsbaarheid te onthullen.
Gebruikers van de plug-in worden aangemoedigd om onmiddellijk bij te werken
WPScan-beveiligingsonderzoekers dringen er bij alle gebruikers van de plug-in op aan om hun sites onmiddellijk bij te werken naar versie 2.6.7. Een speciaal WPScan-rapport merkt op: De hackcampagne maakt actief gebruik van een plug-in voor eindleden. “Dit weekend is een nieuwe versie uitgebracht, 2.6.7, die het probleem verhelpt. Als u een Ultimate Member bent, upgrade dan zo snel mogelijk naar deze versie. Dit is een zeer ernstig probleem: niet-geverifieerde aanvallers kunnen dit beveiligingslek misbruiken door nieuwe gebruikersaccounts met beheerdersrechten aan te maken, waardoor ze de volledige controle over de getroffen websites kunnen krijgen. Deze kwetsbaarheid heeft een score van 9,8 op een schaal van 1 tot 10, waarbij tien het ernstigste niveau is. Gebruikers van de plug-in wordt ten zeerste aanbevolen om onmiddellijk bij te werken.
Themaafbeelding door Shutterstock/pedrosfernandes