Bilgisayar korsanları, güvenlik önlemlerini atlayarak ve haydut yönetici hesaplarını kaydederek web sitelerinden ödün vermek için 'Ultimate üye' WordPress eklentisindeki sıfır günlük ayrıcalık artış kırılganlığından yararlanır.
Ultimate Member, WordPress sitelerinde kayıtları ve toplulukları inşa eden bir kullanıcı profili ve üyelik eklentisidir ve şu anda 200.000'den fazla aktif kurulum vardır.
CVE-2023-3460 olarak izlenen ve CVSS V3.1 puanına sahip 9.8 ("kritik") olan sömürülen kusur, en son sürümü v2.6.6 dahil olmak üzere Ultimate üye eklentisinin tüm sürümlerini etkiler.
Geliştiriciler başlangıçta 2.6.3, 2.6.4, 2.6.5 ve 2.6.6 sürümlerinde kusuru düzeltmeye çalışırken, kusurdan yararlanmanın hala yolları var. Geliştiriciler, kalan sorunu çözmek için çalışmaya devam ettiklerini ve yakında yeni bir güncelleme yayınlamayı umduklarını söylediler.
Ultimate üye geliştiricilerinden biri, "Müşterimizden birinden bir rapor aldığımızda 2.6.3 sürümünden beri bu güvenlik açığı ile ilgili düzeltmeler üzerinde çalışıyoruz."
"Sürümler 2.6.4, 2.6.5, 2.6.6 Bu güvenlik açığını kısmen kapat, ancak en iyi sonucu almak için hala WPSCAN ekibi ile birlikte çalışıyoruz. Ayrıca raporlarını gerekli tüm ayrıntılarla da alıyoruz."
"Önceki tüm sürümler savunmasızdır, bu nedenle web sitelerinizi 2.6.6'ya yükseltmenizi ve son güvenlik ve özellik geliştirmelerini almak için gelecekte güncellemeleri tutmanızı şiddetle tavsiye ediyoruz."
Bu sıfır günden yararlanan saldırılar, tehdit aktörlerinin hesaplarında keyfi kullanıcı meta değerleri ayarlamak için eklentinin kayıt formlarını kullanarak kullandıkları konusunda uyaran WordFence'taki web sitesi güvenlik uzmanları tarafından keşfedildi.
Daha spesifik olarak, saldırganlar kullanıcı rollerini yönetici olarak tanımlamak için "WP_CAPABILITYS" kullanıcı meta değerini belirleyerek savunmasız siteye tam erişim sağlar.
Eklenti, kullanıcıların yükseltme mümkün olmaması gereken anahtarlar için bir blok listesine sahiptir; Ancak, bu koruma önlemini atlamak önemsizdir, diyor WordFence.
Bu saldırılarda CVE-2023-3460 kullanılarak hacklenen WordPress siteleri aşağıdaki göstergeleri gösterecektir:
Kritik kusur açılmamış kaldığından ve kullanımı çok kolay olduğundan, WordFence nihai üye eklentisinin hemen kaldırılmasını önerir.
WordFence, müşterilerini bu tehditten korumak için özel olarak geliştirdiği güvenlik duvarı kuralının bile tüm potansiyel sömürü senaryolarını kapsadığını, bu nedenle satıcının sorunu ele alana kadar eklentiyi kaldırmanın tek ihtiyatlı eylem olduğunu açıklıyor.
Bir sitenin tehlikeye atıldığı tespit ediliyorsa, yukarıda paylaşılan IOC'lere dayanarak, eklentinin kaldırılması riski gidermek için yeterli olmayacaktır.
Bu durumlarda, web sitesi sahipleri, Rogue Yönetici Hesapları ve oluşturdukları herhangi bir backrod gibi uzlaşmanın kalıntılarını kökünden sökmek için tam kötü amaçlı yazılım taramaları yapmalıdır.
Hackerlar, POC çıktıktan sonra savunmasız WordPress Elementor eklentisini hedef hedef
Bilgisayar korsanları POC istismarını piyasaya sürdükten sonra WordPress eklentisi kusurunu hedef
WordPress Stripe Ödeme Eklentisi Hata Sızıntıları Müşteri Sipariş Detayları
WordPress Custom Field eklentisi, XSS saldırılarına 1m'den fazla siteyi ortaya çıkarır
Bu chatgpt eklentisi ile WordPress sitenize AI özellikleri ekleyin
Kaynak: Bleeping Computer