Tin tặc khai thác lỗ hổng leo thang đặc quyền zero-day trong plugin WordPress ‘Ultimate Member’ để thỏa hiệp các trang web bằng cách bỏ qua các biện pháp bảo mật và đăng ký tài khoản quản trị viên giả mạo.
Ultimate Member là một hồ sơ người dùng và plugin thành viên tạo điều kiện đăng ký, xây dựng cộng đồng trên các trang web WordPress và hiện có hơn 200.000 cài đặt đang hoạt động.
Lỗ hổng được theo dõi là CVE-2023-3460 và có điểm CVSS v3.1 là 9,8 (“nghiêm trọng”), ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm cả phiên bản mới nhất của nó là v2.6.6.
Mặc dù các nhà phát triển ban đầu đã cố gắng sửa lỗ hổng trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6, nhưng vẫn có nhiều cách để khai thác lỗ hổng. Các nhà phát triển cho biết họ đang tiếp tục làm việc để giải quyết vấn đề còn lại và hy vọng sẽ sớm phát hành bản cập nhật mới.
Một trong những nhà phát triển của Ultimate Member cho biết: “Chúng tôi đang làm việc trên các bản sửa lỗi liên quan đến lỗ hổng này kể từ phiên bản 2.6.3 khi chúng tôi nhận được báo cáo từ một trong những khách hàng của chúng tôi. Các phiên bản 2.6.4, 2.6.5, 2.6.6 đóng một phần lỗ hổng này nhưng chúng tôi vẫn đang làm việc cùng với nhóm WPScan để có được kết quả tốt nhất. Chúng tôi cũng nhận được báo cáo của họ với tất cả các chi tiết cần thiết. Tất cả các phiên bản trước đều dễ bị tấn công, vì vậy chúng tôi khuyên bạn nên nâng cấp trang web của mình lên 2.6.6 và tiếp tục cập nhật trong tương lai để nhận được các cải tiến về bảo mật và tính năng gần đây.”
Các cuộc tấn công khai thác CVE-2023-3460
Các cuộc tấn công khai thác zero-day này được phát hiện bởi các chuyên gia bảo mật trang web tại Wordfence, đã cảnh báo rằng các tác nhân đe dọa khai thác nó bằng cách sử dụng các biểu mẫu đăng ký của plugin để đặt các giá trị meta người dùng tùy ý trên tài khoản của họ.
Cụ thể hơn, những kẻ tấn công đặt giá trị meta người dùng “wp_capabilities” để xác định vai trò người dùng của họ với tư cách là quản trị viên, cấp cho họ quyền truy cập hoàn toàn vào trang web dễ bị tấn công.
Plugin có danh sách chặn cho các khóa mà người dùng không thể nâng cấp; tuy nhiên, bỏ qua biện pháp bảo vệ này là không đáng kể.
Các trang web WordPress bị tấn công bằng CVE-2023-3460 trong các cuộc tấn công này sẽ hiển thị các chỉ số sau:
- Sự xuất hiện của tài khoản quản trị viên mới trên trang web
- Sử dụng tên người dùng wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
- Hồ sơ nhật ký cho thấy các IP được biết là độc hại đã truy cập vào trang đăng ký “Ultimate Member”
- Bản ghi nhật ký hiển thị quyền truy cập từ 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 và 172.70.147.176
- Giao diện tài khoản người dùng có địa chỉ email được liên kết với “exelica.com”
- Cài đặt các plugin và chủ đề WordPress mới trên trang web
Bởi vì lỗ hổng nghiêm trọng vẫn chưa được vá và rất dễ khai thác, WordFence khuyến nghị người dùng nên gỡ cài đặt plugin Ultimate Member ngay lập tức. Wordfence giải thích rằng ngay cả quy tắc firewall mà nó phát triển đặc biệt để bảo vệ khách hàng của mình khỏi mối đe dọa cũng không bao gồm tất cả các kịch bản khai thác tiềm năng, vì vậy việc xóa plugin cho đến khi nhà cung cấp giải quyết vấn đề là hành động thận trọng duy nhất.
Nếu một trang web bị phát hiện đã bị xâm phạm, dựa trên các IoT được chia sẻ ở trên, việc xóa plugin sẽ không đủ để khắc phục rủi ro.
Trong những trường hợp đó, chủ sở hữu trang web phải chạy quét phần mềm độc hại hoàn chỉnh để giải quyết các mối đe dọa, chẳng hạn như tài khoản quản trị viên giả mạo và bất kỳ backdoor nào họ đã tạo.
