EN
Više od 200.000 WordPress veb sajtova izloženo je stalnim napadima koji ciljaju na kritičnu ranjivost u dodatku Ultimate Member.
Dizajniran da korisnicima olakša registraciju i prijavu na sajtove, ovaj dodatak omogućava vlasnicima sajtova da dodaju korisničke profile, definišu uloge, kreiraju prilagođena polja obrazaca i direktorijume članova i još mnogo toga.
Greška praćena kao CVE-2023-3460 (CVSS skor 9,8) utiče na sve verzije dodatka Ultimate Member, uključujući i verziju (2.6.6) koja je objavljena 29. juna. Ona omogućava napadačima da kreiraju nove korisničke naloge sa administratorskim privilegijama, i da preuzmu potpunu kontrolu nadu nad ranjivim sajtovima.
Problem je izašao na videlo kada su se pojavili prvi izveštaji o dodavanju lažnih administratorskih naloga na ranjivim sajtovima. Napadi su najverovatnije počeli pre mesec dana, ako ne i ranije.
Iako detalji o grešci nisu otkriveni zbog moguće zloupotrebe, prema objašnjenju koje je dao WPScan, problem je u sukobu između logike blok liste dodatka i načina na koji WordPres tretira ključeve metapodataka. Ultimate Member koristi blok liste za skladištenje ključeva metapodataka kojima korisnici ne bi trebalo da manipulišu i proverava ove liste kad god korisnici pokušaju da registruju ove ključeve prilikom kreiranja naloga. Zbog razlike u radu dodatka i WordPressa, napadači su uspeli da prevare dodatak da ažurira ključeve metapodataka, uključujući onaj koji čuva korisničku ulogu i mogućnosti, objašnjava WPScan.
Ovo je omogućilo napadačima da registruju korisničke naloge sa ulogom administratora, a najmanje dva vlasnika sajtova su primetila i prijavila sumnjivu aktivnost.
Programeri dodatka, koji opisuju problem kao grešku eskalacije privilegija, pokušali su da je reše u poslednje dve verzije Ultimate Membera, ali po svemu sudeći nisu uspeli da ga u potpunosti zakrpe jer je WPScan testirajući zakrpe, pronašao brojne metode da ih zaobiđe, što znači da se greška i dalje može iskoristiti.
Programeri dodatka su priznali da su u toku napadi na sajtove u kojima se iskorišćava ova greška.
Vlasnicima sajtova se savetuje da onemoguće Ultimate Member sve dok ne bude dostupna odgovarajuća zakrpa. Takođe se preporučuje revizija svih administratora na sajtovima koji koriste dodatak da bi se eventualno identifikovali lažni nalozi.
Autori Ultimate Membera su 1. jula objavili verziju 2.6.7 dodatka a kao dodatnu bezbednosnu meru, oni planiraju novu funkciju dodatka koja bi omogućila administratorima veb sajtova da resetuju lozinke za sve korisnike.
