黑客利用WordPress 插件中的提权0day攻陷网站
编译:代码卫士
黑客利用 “Ultimate Member” WordPress 插件中的 0day 漏洞 (CVE-2023-3460),通过绕过安全措施和注册恶意管理员账户,攻陷网站。
Ultimate Member 是一款用户资料和会员插件,便于在WordPress 网站上进行注册和构建社区,目前的活跃下载量超过20万次。
CVE-2023-3460的CVSS v3.1评分为9.8,影响 Ultimate Member 插件的所有版本,包括最新版本 v2.6.6。虽然开发人员最初尝试在版本 2.6.3、2.6.4、2.6.5 和2.6.6 中修复该漏洞,但仍然存在利用该漏洞的方法。开发人员表示将继续致力于解决余下漏洞并希望很快能够发布更新。
Ultimate Member 的一名开发人员指出,“自2.6.3版本开始,我们收到一名客户的报告后就开始着手准备与该漏洞相关的修复方案。版本 2.6.4、2.6.5、2.6.6部分修复了该漏洞,但我们仍然一起与 WPScan 团队致力于获得最佳结果。我们还收到了含有所有必要详情的报告。之前所有版本均易受影响,因此我们强烈建议将网站更新至2.6.6版本,并在未来持续更新,获得最近的安全和特性增强。”
Wordfence 的网站安全专家发现了利用该0day漏洞的攻击活动,并提醒称威胁人员利用插件的注册表单在账户上设置任意用户元值,利用该漏洞。更具体而言,攻击者设置 “wp_capabilities”用户元值,将用户角色定义为管理员,使其能够完全访问易受攻击的站点。
该插件具有用户本不应升级的密钥拦截清单;然而,Wordfence 表示,绕过该防护措施并不费力。
通过CVE-2023-3460 被入侵的 WordPress 站点存在如下指标:
在网站上出现新的管理员账户。
使用用户名 wpenginer、wpadmins、wpengine_backup、se_brutal、segs_brutal。
日志记录显示已知的 IP 地址访问了 Ultimate Member 注册页面。
日志记录显示来自146.70.189.245、103.187.5.128、103.30.11.160、 103.30.11.146和172.70.147.176的访问。
用户账户的邮件地址与 “exelica.com” 存在关联。
在网站上安装新的 WordPress 插件和主题。
由于该严重漏洞仍未修复且易遭利用,因此 WordFence 建议立即卸载 Ultimate Member 插件。WordFence 公司解释称,甚至是专门开发以保护客户免遭威胁的防火墙规则也并未涵盖所有潜在的防火墙规则,因此在厂商解决该问题之前删除插件是唯一稳健的措施。
如果网站已遭攻陷,那么基于上述分享的 IoC 而言,删除该插件将不足以缓解风险。在这种情况下,网站所有人必须运行完整的恶意软件扫描,找到攻陷根因如恶意管理员账户和任何后门。
WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞
WordPress 热门插件中存在漏洞,200多万网站受影响
https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-ultimate-member-wordpress-plugin-with-200k-installs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。