Les pirates exploitent une vulnérabilité d’escalade de privilèges zero-day dans le plugin WordPress « WordPress  » pour compromettre les sites Web en contournant les mesures de sécurité et en enregistrant des comptes d’administrateurs malveillants.

Ultimate Member est un plugin de profil d’utilisateur et d’adhésion qui facilite les inscriptions et la création de communautés sur les sites WordPress, et il compte actuellement plus de 200 000 installations actives.

La faille exploitée, identifiée comme CVE-2023-3460, et ayant un score CVSS v3.1 de 9,8 (« critique »), affecte toutes les versions du plugin Ultimate Member, y compris sa dernière version, v2.6.6.

Alors que les développeurs ont initialement tenté de corriger la faille dans les versions 2.6.3, 2.6.4, 2.6.5 et 2.6.6, il existe encore des moyens d’exploiter la faille. Les développeurs ont déclaré qu’ils continuaient à travailler sur la résolution du problème restant et espèrent publier bientôt une nouvelle mise à jour.

« Nous travaillons sur les correctifs liés à cette vulnérabilité depuis la version 2.6.3 lorsque nous recevons un rapport d’un de nos clients », a posté l’un des développeurs Ultimate Member.

« Les versions 2.6.4, 2.6.5, 2.6.6 corrigent partiellement cette vulnérabilité mais nous travaillons toujours avec l’équipe WPScan pour obtenir le meilleur résultat. Nous recevons également leur rapport avec tous les détails nécessaires. »

« Toutes les versions précédentes sont vulnérables, nous vous recommandons donc fortement de mettre à niveau vos sites Web vers la version 2.6.6 et de conserver les mises à jour à l’avenir pour obtenir les récentes améliorations de sécurité et de fonctionnalités. »

Attaques exploitant CVE-2023-3460
Les attaques exploitant ce jour zéro ont été découvertes par des spécialistes de la sécurité des sites Web de Wordfence, qui avertissent que les pirates l’exploitent en utilisant les formulaires d’inscription du plug-in pour définir des méta-valeurs utilisateur arbitraires sur leurs comptes.

Plus précisément, les attaquants définissent la méta-valeur utilisateur « wp_capabilities » pour définir leur rôle d’utilisateur en tant qu’administrateurs, leur accordant un accès complet au site vulnérable.

Le plugin a une liste de blocage pour les clés que les utilisateurs ne devraient pas pouvoir mettre à niveau ; cependant, contourner cette mesure de protection est trivial, dit Wordfence.

Les sites WordPress piratés à l’aide de CVE-2023-3460 dans ces attaques afficheront les indicateurs suivants :

  • Apparition de nouveaux comptes administrateurs sur le site
  • Utilisation des noms d’utilisateur wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
  • Enregistrements de journaux indiquant que des adresses IP connues pour être malveillantes ont accédé à la page d’inscription Ultimate Member
  • Enregistrements de journaux indiquant l’accès à partir de 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 et 172.70.147.176
  • Apparition d’un compte utilisateur avec une adresse email associée à « exelica.com »
  • Installation de nouveaux plugins et thèmes WordPress sur le site

Étant donné que la faille critique reste non corrigée et est si facile à exploiter, WordFence recommande de désinstaller immédiatement le plug-in Ultimate Member.

Wordfence explique que même la règle de pare-feu qu’il a spécifiquement développée pour protéger ses clients contre cette menace ne couvre pas tous les scénarios d’exploitation potentiels, donc supprimer le plugin jusqu’à ce que son fournisseur résolve le problème est la seule action prudente.

S’il s’avère qu’un site a été compromis, sur la base des IoC partagés ci-dessus, la suppression du plug-in ne suffira pas à remédier au risque.

Dans ces cas, les propriétaires de sites Web doivent exécuter des analyses complètes des logiciels malveillants pour déraciner tous les vestiges de la compromission, tels que les comptes d’administrateur escrocs et les portes dérobées qu’ils ont créées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *