Mais de 200 mil sites WordPress estão expostos a ataques hackers contínuos visando uma vulnerabilidade crítica no plugin Ultimate Member. Projetado para facilitar o registro e o login dos usuários nos sites, o plugin permite que os proprietários do site adicionem perfis de usuário, definam funções, criem campos de formulário personalizados e diretórios de membros e muito mais.
Rastreado como CVE-2023-3460 — com nota de 9.8 no sistema de pontuação comum de vulnerabilidades (CVSS) —, o defeito de segurança recentemente identificado no Ultimate Member permite que invasores adicionem uma nova conta de usuário ao grupo de administradores.
Alguns dos usuários do plugin observaram a criação de contas não autorizadas e as denunciaram esta semana, mas os ataques parecem estar em andamento pelo menos desde o início de junho.
De acordo com a WPScan, empresa de segurança do WordPress, o problema está enraizado em um conflito entre a lógica da lista de bloqueio do plug-in e a maneira como o WordPress trata as chaves de metadados.
O Ultimate Member usa listas de bloqueio para armazenar chaves de metadados que os usuários não devem manipular e verifica essas listas sempre que os usuários tentam registrar essas chaves ao criar contas.
Devido à diferença de operação entre o plugin e o WordPress, os invasores conseguiram induzir o plugin a atualizar as chaves de metadados, incluindo uma que armazena a função e os recursos do usuário, explica o WPScan. A empresa fornece indicadores de comprometimento (IoCs) associados aos ataques observados. Isso permitiu que os invasores registrassem contas de usuário com a função de administrador e pelo menos dois proprietários de sites observaram e relataram a atividade suspeita.
Veja isso
Magento, WooCommerce, Shopify e WordPress na mira de skimmer
Bug do WordPress é explorado dois dias após liberação de patch
Os mantenedores do plugin, que descrevem o problema como um bug de escalonamento de privilégios, tentaram resolvê-lo nas duas últimas versões do Ultimate Member, mas não conseguiram corrigi-lo completamente. No entanto, eles reconheceram a contínua exploração na natureza.
Os proprietários do site são aconselhados a desativar o Ultimate Member para evitar a exploração da vulnerabilidade. Eles também devem auditar todas as funções de administrador em seus sites, para identificar contas não autorizadas.