Używasz tej wtyczki do WordPressa? Zaktualizuj ją czym prędzej
Hakerzy wykorzystują popularną wtyczkę, aby tworzyć fałszywe konta administratorów i przejmować strony oparte na WordPressie. Jeśli jej używasz – zaktualizuj ją jak najszybciej.
- Damian Jemioło
- /
- 5 lipca 2023
Cyberprzestępcy atakują WordPressa
Nawet 200 tys. stron opartych na WordPress jest obecnie narażonych na nieustanne ataki, które wykorzystują krytyczną lukę w zabezpieczeniach wtyczki o nazwie Ultimate Member.
7(16) 2023 SECURITY MAGAZINEMonika Świetlińska
Luka oznaczona jako CVE-2023-3460, dotyczy wszystkich wersji wtyczki Ultimate Member, w tym najnowszej wersji (2.6.6), która została wydana 29 czerwca 2023 r. Twórcy przygotowali już wersję 2.6.7, która teoretycznie rozwiązuje ten problem, choć nie każdy wie o konieczności aktualizacji.
Firma WPScan, specjalizująca się w cyberbezpieczeństwie WordPress, ostrzega, że to bardzo poważny problem. Nieuwierzytelnieni intruzi mogą wykorzystać tę podatność do tworzenia nowych kont użytkowników z uprawnieniami administratora, co daje im pełną kontrolę nad daną stroną internetową.
Cyberprzestępcy tworzą fałszywe konta administratorów
Chloe Chamberland, ekspertka z firmy Wordfence, wyjaśnia, że podatność wynika z błędu w logice listy zablokowanych kluczy. Ta lista ma uniemożliwić użytkownikom aktualizację pewnych wartości, ale w podatnych wersjach wtyczki łatwo jest ją obejść. Cyberprzestępcy mogą wprowadzić różne warianty kluczy, używać znaków specjalnych i innych sposobów, aby zdobyć dostęp do konta administratora.
Jak podaje The Hacker News – cyberprzestępcy wykorzystują tę podatność do tworzenia nowych kont o nazwach takich jak apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup i wpenginer. Następnie wysyłają złośliwe wtyczki i motywy za pomocą panelu administracyjnego witryn.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Wtyczka Ultimate Member nadal ma luki?
Według niezależnego poradnika, wersja 2.6.7 wtyczki Ultimate Member wprowadza białą listę dla kluczy meta, które są przechowywane podczas wysyłania formularzy. Ponadto, w tej wersji dane ustawień formularza są oddzielone od przesłanych danych i są obsługiwane jako dwie różne zmienne.
Warto jednak zauważyć, że choć łatki zostały wprowadzone, są one niekompletne, a zespół WPScan odkrył wiele sposobów na obejście tych poprawek. Oznacza to, że nadal istnieje aktywne zagrożenie związane z tą podatnością.
Fala oszustw w ślad za tragedią OceanGateMonika Świetlińska
Eksperci ds. cyberbezpieczeństwa zalecają użytkownikom wtyczki Ultimate Member wyłączenie jej do momentu udostępnienia pełnej poprawki, która całkowicie zabezpieczy przed tą podatnością. Warto także przeprowadzić dokładne sprawdzenie wszystkich kont administratorów na stronach internetowych, aby upewnić się, że nie zostały dodane nieautoryzowane konta.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?