Używasz tej wtyczki do WordPressa? Zaktualizuj ją czym prędzej

Hakerzy wykorzystują popularną wtyczkę, aby tworzyć fałszywe konta administratorów i przejmować strony oparte na WordPressie. Jeśli jej używasz – zaktualizuj ją jak najszybciej.

  • Damian Jemioło
  • /
  • 5 lipca 2023

Cyberprzestępcy atakują WordPressa

Nawet 200 tys. stron opartych na WordPress jest obecnie narażonych na nieustanne ataki, które wykorzystują krytyczną lukę w zabezpieczeniach wtyczki o nazwie Ultimate Member.

7(16) 2023 SECURITY MAGAZINE7(16) 2023 SECURITY MAGAZINEMonika Świetlińska

Luka oznaczona jako CVE-2023-3460, dotyczy wszystkich wersji wtyczki Ultimate Member, w tym najnowszej wersji (2.6.6), która została wydana 29 czerwca 2023 r. Twórcy przygotowali już wersję 2.6.7, która teoretycznie rozwiązuje ten problem, choć nie każdy wie o konieczności aktualizacji. 

Firma WPScan, specjalizująca się w cyberbezpieczeństwie WordPress, ostrzega, że to bardzo poważny problem. Nieuwierzytelnieni intruzi mogą wykorzystać tę podatność do tworzenia nowych kont użytkowników z uprawnieniami administratora, co daje im pełną kontrolę nad daną stroną internetową.

Cyberprzestępcy tworzą fałszywe konta administratorów

Chloe Chamberland, ekspertka z firmy Wordfence, wyjaśnia, że podatność wynika z błędu w logice listy zablokowanych kluczy. Ta lista ma uniemożliwić użytkownikom aktualizację pewnych wartości, ale w podatnych wersjach wtyczki łatwo jest ją obejść. Cyberprzestępcy mogą wprowadzić różne warianty kluczy, używać znaków specjalnych i innych sposobów, aby zdobyć dostęp do konta administratora.

Jak podaje The Hacker News – cyberprzestępcy wykorzystują tę podatność do tworzenia nowych kont o nazwach takich jak apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup i wpenginer. Następnie wysyłają złośliwe wtyczki i motywy za pomocą panelu administracyjnego witryn.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Wtyczka Ultimate Member nadal ma luki?

Według niezależnego poradnika, wersja 2.6.7 wtyczki Ultimate Member wprowadza białą listę dla kluczy meta, które są przechowywane podczas wysyłania formularzy. Ponadto, w tej wersji dane ustawień formularza są oddzielone od przesłanych danych i są obsługiwane jako dwie różne zmienne.

Warto jednak zauważyć, że choć łatki zostały wprowadzone, są one niekompletne, a zespół WPScan odkrył wiele sposobów na obejście tych poprawek. Oznacza to, że nadal istnieje aktywne zagrożenie związane z tą podatnością.

Fala oszustw w ślad za tragedią OceanGateFala oszustw w ślad za tragedią OceanGateMonika Świetlińska

Eksperci ds. cyberbezpieczeństwa zalecają użytkownikom wtyczki Ultimate Member wyłączenie jej do momentu udostępnienia pełnej poprawki, która całkowicie zabezpieczy przed tą podatnością. Warto także przeprowadzić dokładne sprawdzenie wszystkich kont administratorów na stronach internetowych, aby upewnić się, że nie zostały dodane nieautoryzowane konta.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: naruszenia backup strona internetowa e-commerce
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!