هکرها از آسیب پذیری روز صفر در افزونه Ultimate Member برای وردپرس با بیش از 200000 نصب سوء استفاده کرده اند.
گزارش کردن تکناکآنها با نادیده گرفتن اقدامات امنیتی و ثبت حساب کاربری جعلی اداری به کنترل سایت ها دسترسی پیدا کرده اند. Ultimate Member یک افزونه عضویت و پروفایل کاربری است که ثبت و ایجاد انجمن ها را در سایت های وردپرسی آسان می کند و در حال حاضر بیش از 200 هزار نصب فعال دارد
این آسیبپذیری با شناسه CVE-2023-3460 و امتیاز CVSS v3.1 9.8 («بحرانی»)، بر تمام نسخههای افزونه Ultimate Member از جمله آخرین نسخه 2.6.6 تأثیر میگذارد.
اگرچه توسعه دهندگان سعی کردند این نقص را در نسخه های 2.6.3، 2.6.4، 2.6.5 و 2.6.6 برطرف کنند، اما هنوز راه هایی برای سوء استفاده از این آسیب پذیری وجود دارد. توسعهدهندگان گفتهاند که به کار بر روی مسائل باقیمانده ادامه میدهند و امیدوارند بهزودی بهروزرسانی جدیدی منتشر کنند.
یکی از توسعه دهندگان Ultimate Member نوشت: ما از نسخه 2.6.3 که توسط یکی از مشتریان ما گزارش شده بود، روی رفع این آسیب پذیری کار می کردیم.
نسخه های 2.6.4، 2.6.5 و 2.6.6 تا حدی این آسیب پذیری را بسته اند، اما ما همچنان با تیم WPScan کار می کنیم تا بهترین نتیجه را بگیریم. ما نیز گزارش آنها را با تمام جزئیات لازم دریافت کرده ایم.
همه نسخههای قبلی آسیبپذیر هستند، بنابراین اکیداً توصیه میکنیم که وبسایتهای خود را به نسخه ۲.۶.۶ ارتقا دهید و برای دریافت بهروزرسانیهای امنیتی و ویژگیهای جدید مراقب بهروزرسانیهای منتشر شده در آینده باشید.
حملات از CVE-2023-3460 مزایای دریافت کنید
حملاتی که از این روز صفر سوء استفاده می کنند توسط کارشناسان امنیت وب سایت در Wordfence کشف شده است که هشدار می دهند عوامل تهدید با استفاده از فرم های ثبت پلاگین برای تنظیم مقادیر متای کاربر دلخواه در حساب های خود از آن سوء استفاده می کنند.
به طور خاص، مهاجمان مقدار متا کاربر را “wp_capabilities” تنظیم می کنند تا نقش کاربر خود را به عنوان یک مدیر تعریف کند و به آنها دسترسی کامل به سایت آسیب پذیر را بدهد.
طبق گفته Wordfence، این افزونه دارای یک لیست سیاه برای کلیدهایی است که کاربران نباید قادر به به روز رسانی آنها باشند. با این حال، این حفاظت ها را می توان به راحتی دور زد.
سایت های وردپرس هک شده در این حملات با CVE-2023-3460 موارد زیر را نشان می دهند:
- ظاهر اکانت مدیر جدید در وب سایت
- استفاده از نام های کاربری wpenginer، wpadmins، wpengine_backup، se_brutal، segs_brutal
- ثبت دسترسی IP های مخرب به صفحه ثبت نام نهایی اعضا
- دسترسی ثبت نام از 146.70.189.245، 103.187.5.128، 103.30.11.160، 103.30.11.146 و 172.70.147.176
- ظاهر یک حساب کاربری با آدرس ایمیل مرتبط با “com”
- نصب افزونه ها و تم های جدید وردپرس در سایت.
با توجه به اینکه نقص اساسی بدون اصلاح باقی می ماند و به راحتی قابل استفاده است، WordFence توصیه می کند که افزونه Ultimate Member فورا حذف شود.
WordFence توضیح می دهد که حتی یک قانون فایروال که به طور خاص برای محافظت از مشتریان خود در برابر این تهدید ایجاد شده است، همه سناریوهای سوء استفاده احتمالی را پوشش نمی دهد، بنابراین حذف افزونه تا زمانی که فروشنده مشکل را بررسی و رفع کند، تنها اقدام پیشگیرانه است. است.
اگر بر اساس IoCهای بالا مشخص شد که سایتی هک شده است، حذف افزونه برای رفع خطر کافی نخواهد بود.
در این حالت، صاحبان وبسایت باید یک اسکن کامل بدافزار را برای از بین بردن اثرات باقیمانده هک، مانند حسابهای مدیریت جعلی و هر وسیله دیگری، اجرا کنند.
مقاله شناسایی آسیب پذیری خطرناک در وردپرس اولین بار در Tekknock – اخبار دنیای فناوری پدیدار شد. ظاهر شد.
گفتگو در مورد این post