کشف آسیب‌پذیری در پلاگین Ultimate Member وردپرس

چندخبرگزاری صبح امروز از آسیب‌پذیری روز صفر در پلاگین Ultimate Member برای وردپرس با بیش از 200 هزار نصب خبر دادند.

در این رابطه، سایت تابناک نوشت: «هکرها با نادیده گرفتن اقدامات امنیتی و ثبت‌نام حساب مدیریتی جعلی، به کنترل سایت‌ها دسترسی پیدا کرده‌اند.»

همان‌طور که می‌دانید Ultimate Member پلاگین عضویت و پروفایل کاربری است که ثبت‌نام و ساخت بخش‌ها در سایت‌هایی با زیرساخت وردپرس را آسان می‌کند و در حال حاضر بیش از 200 هزار نصب فعال دارد.

مهرنیوز هم در کانال خبری خود نوشت: «آسیب‌پذیری جدید با شناسه CVE-2023-3460 و امتیاز CVSS v3.1 برابر 9.8 (“critical”)، تمام نسخه‌های پلاگین Ultimate Member، از جمله آخرین نسخه آن یعنی 2.6.6 را تحت تأثیر قرار می‌دهد.»

مهندس شریفی، استاد دانشگاه خواجه نصیر و یکی از فعالان عرصهٔ آی. تی در صفحهٔ شخصی تلگرامش نوشته: «هرچند توسعه‌دهندگان در نسخه‌های 2.6.3، 2.6.4، 2.6.5 و 2.6.6 تمام تلاششان را به‌کار گرفتند تا این نقص را برطرف کنند، متأسفانه هنوز راه‌هایی برای بهره‌برداری از آسیب‌پذیری وجود دارد. توسعه‌دهندگان گفته‌اند که در حال ادامه کار برای رفع مشکل باقی‌مانده هستند و امیدوارند به زودی یک به‌روزرسانی جدید را منتشر کنند.»

یکی از توسعه‌دهندگان Ultimate Member نیز نوشته: ما از نسخه 2.6.3 که یکی از مشتریان ما گزارش داد، به دنبال رفع مشکلات مربوط به این آسیب‌پذیری هستیم.

نسخه‌های 2.6.4، 2.6.5 و 2.6.6 به طور جزئی این آسیب‌پذیری را بسته‌اند، اما همچنان در حال همکاری با تیم WPScan هستیم تا بهترین نتیجه را به‌دست آوریم. همچنین گزارش آن‌ها با تمام جزئیات لازم به دست ما رسیده است.

تمام نسخه‌های قبلی آسیب‌پذیرند، بنابراین به شدت توصیه می‌کنیم وب‌سایت‌های خود را به نسخه 2.6.6 ارتقا دهید و برای به‌دست آوردن به‌روزرسانی‌های امنیتی و ویژگی‌های جدید در آینده به روزرسانی‌های منتشر شده توجه کنید.»

در تکمیل این خبر باید گفت حملاتی که از CVE-2023-3460 یا حمله روز صفر بهره برده‌اند، توسط متخصصان امنیت وب سایت در Wordfence کشف شدند، که هشدار می‌دهند عوامل تهدید کننده با استفاده از فرم‌های ثبت نام پلاگین، برای تنظیم مقادیر meta کاربر دلخواه در حساب‌های خود از آن سوء استفاده می‌کنند. به طور خاص، مهاجمان مقدار meta کاربر “wp_capabilities” را تنظیم می‌کنند تا نقش کاربر خود را به عنوان مدیر تعریف کنند و به آن‌ها دسترسی کامل به سایت آسیب‌پذیر را محقق کنند. به گفته Wordfence، این پلاگین دارای یک لیست سیاه برای کلیدهایی است که کاربران نباید قادر به به‌روزرسانی آن‌ها باشند؛ با این حال، به طور آسان می‌توان این تدابیر حفاظتی را از بین برد.

سایت‌های وردپرسی که در این حملات با CVE-2023-3460 هک شده‌اند، موارد زیر را نشان می‌دهند:

• ظاهر شدن حساب مدیر جدید در وب‌سایت
• استفاده از نام‌های کاربری wpenginer، wpadmins، wpengine_backup، se_brutal، segs_brutal
• ثبت دسترسی آی‌پی‌های مخرب به صفحه ثبت نام Ultimate Member ثبت دسترسی از 146.70.189.245، 103.187.5.128، 103.30.11.160، 103.30.11.146 و 172.70.147.176
• ظاهر شدن حساب کاربری با آدرس ایمیل مرتبط با “com”
• نصب پلاگین‌ها و پوسته‌های وردپرس جدید در سایت

با توجه به این‌که نقص اساسی هنوز بدون تعمیر باقی مانده است و به آسانی قابل بهره‌برداری است، WordFence توصیه می‌کند که پلاگین Ultimate Member بلافاصله حذف شود. این سایت توضیح داده که حتی قانون فایروالی که به طور خاص برای محافظت از مشتریان خود در برابر این تهدید توسعه داده شده است، تمام سناریوهای بهره‌برداری ممکن را پوشش نمی‌دهد، بنابراین حذف پلاگین تا زمانی که فروشنده مشکل را بررسی و رفع کند، تنها راهکار احتیاطی است. اگر سایتی پیدا شود که مورد هک قرار گرفته است، براساس IoCs در بالا، حذف پلاگین برای رفع خطر کافی نخواهد بود. در این حالت، صاحبان وب‌سایت باید اسکن کامل بد افزار را اجرا کنند تا هر گونه پیامدهای باقی‌مانده از هک مانند حساب‌های مدیریتی جعلی و هر راه دیگر را از بین ببرند.