Lỗ hổng bị khai thác là CVE-2023-3460 và có điểm số CVSS 9,8/10, ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm phiên bản mới nhất (v2.6.6).
Trong khi các nhà phát triển đã cố gắng sửa lỗi trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6, hacker vẫn có thể khai thác lỗ hổng. Các nhà phát triển đã cho biết họ đang tiếp tục làm việc để giải quyết vấn đề còn lại và hy vọng sẽ sớm phát hành bản cập nhật mới.
"Chúng tôi đang cố gắng để khắc phục lỗi liên quan đến lỗ hổng này từ phiên bản 2.6.3" - một trong những nhà phát triển của Ultimate Member chia sẻ.
"Các phiên bản 2.6.4, 2.6.5, 2.6.6 đã khắc phục một phần lỗ hổng này nhưng chúng tôi vẫn đang làm việc cùng với đội ngũ WPScan để đạt được kết quả tốt nhất. Chúng tôi cũng nhận được báo cáo từ họ với tất cả các chi tiết cần thiết".
"Tất cả các phiên bản trước đó đều có lỗ hổng nên chúng tôi khuyến nghị người dùng nâng cấp trang web lên phiên bản 2.6.6 và tiếp tục cập nhật các bản vá trong tương lai để đảm bản an toàn và có được các tính năng mới nhất".
Các cuộc tấn công khai thác zero-day này được phát hiện bởi những chuyên gia tại Wordfence. Họ cảnh báo rằng hacker khai thác lỗ hổng bằng cách sử dụng các biểu mẫu đăng ký của plugin để thiết lập giá trị meta người dùng tùy ý trên tài khoản của họ.
Cụ thể hơn, kẻ tấn công đặt giá trị meta người dùng "wp_capabilities" để xác định vai trò người dùng của họ là quản trị viên và cho phép họ truy cập hoàn toàn vào trang web có lỗ hổng.
Plugin có danh sách để chặn các key mà người dùng không nên nâng cấp; tuy nhiên, Wordfence cho biết việc qua mặt biện pháp bảo vệ này khá dễ dàng.
Các trang web WordPress bị tấn công bằng cách sử dụng CVE-2023-3460 trong các cuộc tấn công sẽ có các thông tin sau:
Xuất hiện tài khoản quản trị viên mới trên trang web.
Sử dụng các tên người dùng như wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal.
Bản ghi nhật ký (logs) cho thấy các địa chỉ IP đã biết đến là độc hại truy cập vào trang đăng ký Ultimate Member.
Bản ghi nhật ký (logs) cho thấy truy cập từ các địa chỉ IP 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 và 172.70.147.176.
Xuất hiện tài khoản người dùng với địa chỉ email liên kết với "exelica.com".
Cài đặt các plugin và giao diện WordPress mới trên trang web.
Do lỗ hổng nguy hiểm này vẫn chưa được vá và khai thác rất dễ dàng, WordFence khuyến nghị ngay lập tức gỡ bỏ plugin Ultimate Member.
WordFence giải thích rằng ngay cả luật của firewall mà hãng đặc biệt phát triển để bảo vệ khách hàng khỏi mối đe dọa này cũng không bao gồm tất cả các kịch bản khai thác tiềm năng, do đó việc gỡ bỏ plugin cho đến khi nhà cung cấp giải quyết vấn đề là hành động sáng suốt nhất.
Nếu phát hiện trang web đã bị xâm nhập, dựa trên các IoCs được chia sẻ ở trên, việc gỡ bỏ plugin sẽ không đủ để khắc phục rủi ro.
Trong những trường hợp đã bị xêm nhập, chủ sở hữu trang web phải chạy quét malware toàn diện để loại bỏ hoàn toàn hacker, xóa các tài khoản quản trị giả mạo.
Theo: Bleepingcomputer
Đăng nhận xét