ハッカーは、「Ultimate Member」WordPress プラグインのゼロデイ権限昇格の脆弱性を悪用し、セキュリティ対策を回避し、不正な管理者アカウントを登録することで Web サイトを侵害します。
Ultimate Member は、WordPress サイトでのサインアップとコミュニティの構築を容易にするユーザー プロファイルおよびメンバーシップ プラグインで、現在200,000 を超えるアクティブなインストールがあります。
悪用された欠陥は CVE-2023-3460 として追跡され、CVSS v3.1 スコアが 9.8 (「重大」) であり、最新バージョンの v2.6.6 を含む Ultimate Member プラグインのすべてのバージョンに影響を与えます。
開発者は当初、バージョン 2.6.3、2.6.4、2.6.5、および 2.6.6 の欠陥を修正しようとしましたが、この欠陥を悪用する方法はまだ存在します。開発者は、残りの問題の解決に引き続き取り組んでおり、新しいアップデートをすぐにリリースしたいと述べています。
Ultimate Member 開発者の 1 人は、「顧客の 1 人から報告を受けて、バージョン 2.6.3 以降、この脆弱性に関連する修正に取り組んでいます」と投稿しました。
「バージョン 2.6.4、2.6.5、2.6.6 ではこの脆弱性が部分的に解決されていますが、最良の結果を得るために引き続き WPScan チームと協力しています。また、必要なすべての詳細が記載されたレポートも入手しています。」
「以前のバージョンはすべて脆弱性があるため、Web サイトを 2.6.6 にアップグレードし、最新のセキュリティと機能強化を取得するために今後も更新を続けることを強くお勧めします。」
CVE-2023-3460 を悪用した攻撃
このゼロデイを悪用した攻撃はWordfenceの Web サイト セキュリティ スペシャリストによって発見され、脅威アクターはプラグインの登録フォームを使用してアカウントに任意のユーザー メタ値を設定することによってゼロデイを悪用していると警告しています。
具体的には、攻撃者は「wp_capabilities」ユーザー メタ値を設定してユーザー ロールを管理者として定義し、脆弱なサイトへの完全なアクセスを許可します。
このプラグインには、ユーザーがアップグレードできないキーのブロックリストがあります。ただし、この保護手段を回避するのは簡単だと Wordfence は言います。
これらの攻撃で CVE-2023-3460 を使用してハッキングされた WordPress サイトには、次のインジケーターが表示されます。
- Web サイト上に新しい管理者アカウントが登場
- ユーザー名 wpenginer、wpadmins、wpengine_backup、se_brutal、segs_brutal の使用法
- 悪意があることが知られている IP が Ultimate メンバー登録ページにアクセスしたことを示すログ記録
- 146.70.189.245、103.187.5.128、103.30.11.160、103.30.11.146、および 172.70.147.176 からのアクセスを示すログ レコード
- 「exelica.com」に関連付けられた電子メール アドレスを持つユーザー アカウントの外観
- サイトへの新しい WordPress プラグインとテーマのインストール
この重大な欠陥はパッチが適用されていないままであり、非常に悪用されやすいため、WordFence は Ultimate Member プラグインを直ちにアンインストールすることを推奨しています。
Wordfence は、この脅威からクライアントを保護するために特別に開発したファイアウォール ルールですら、潜在的な悪用シナリオをすべてカバーしているわけではないため、ベンダーが問題に対処するまでプラグインを削除することが唯一の賢明な行動だと説明しています。
上記で共有した IoC に基づいてサイトが侵害されていることが判明した場合、プラグインを削除するだけではリスクを修復するのに十分ではありません。
このような場合、Web サイトの所有者は完全なマルウェア スキャンを実行して、不正な管理者アカウントや作成されたバックドアなどの侵害の残存物を根絶する必要があります。
Comments