De nieuwste kwetsbaarheid van WordPress-lidmaatschapsplug-ins, met meer dan 200.000 actieve installaties, wordt actief misbruikt op niet-gepatchte WordPress-sites. De kwetsbaarheid zou triviale inspanning vergen om beveiligingsfilters te omzeilen.
Beveiligingslek in plug-in voor eindleden
Met de plug-in WordPress Ultimate Member kunnen uitgevers online communities op hun websites creëren.
De plug-in werkt door een wrijvingsloos proces te creëren voor gebruikersregistraties en het maken van gebruikersprofielen. Het is een populaire plug-in, vooral voor lidmaatschapssites.
De gratis versie van de plug-in heeft een uitgebreide functieset, waaronder:
Front-end gebruikersprofielen, registratie, login en redacteuren kunnen ook ledenlijsten maken.
De plug-in bevatte ook een kritieke fout waardoor een sitebezoeker ledenprofielen kon maken met in wezen beheerdersrechten.
De beveiligingsdatabase van WPScan beschrijft de ernst van de kwetsbaarheid:
“De plug-in verhindert bezoekers niet om gebruikersaccounts met willekeurige mogelijkheden aan te maken, waardoor aanvallers naar believen beheerdersaccounts kunnen maken.
Dit wordt actief uitgebuit in het wild.”
Beveiligingsupdate mislukt
De kwetsbaarheid werd eind juni 2023 ontdekt en de redactie van Ultimate Member reageerde snel met een patch om de kwetsbaarheid te dichten.
Deze patch voor de kwetsbaarheid is uitgebracht in versie 2.6.5, uitgebracht op 28 juni.
De officiële changelog van de plug-in luidde:
“Opgelost: een beveiligingslek met betrekking tot privilege-escalatie dat wordt gebruikt via UM-formulieren.
De kwetsbaarheid is in het wild bekend om vreemden in staat te stellen WordPress-gebruikers op beheerdersniveau te maken.
Update onmiddellijk en controleer alle gebruikers op beheerdersniveau op uw website.
Deze oplossing loste het beveiligingslek echter niet volledig op en hackers bleven het misbruiken op websites.
Wordfence-beveiligingsonderzoekers analyseerden de plug-in en stelden op 29 juni vast dat de patch niet werkte, en beschreven hun bevindingen in een blogpost:
“Bij verder onderzoek ontdekten we dat deze kwetsbaarheid actief wordt misbruikt en niet correct is gepatcht in de nieuwste beschikbare versie, die 2.6.6 is op het moment van schrijven.”
Het probleem was zo ernstig dat Wordfence de inspanning die nodig was om de plug-in te hacken, als triviaal omschreef.
Wordfence uitgelegd:
“Hoewel de plug-in een vooraf gedefinieerde lijst met verboden sleutels heeft, die een gebruiker niet zou moeten kunnen bijwerken, zijn er triviale manieren om de gevestigde filters te omzeilen, zoals het gebruik van meerdere hoofdletters, schuine strepen en tekencodering in een waarde van de verstrekte meta- key.in kwetsbare versies van de plug-in.
Dit maakt het voor aanvallers mogelijk om de metawaarde van de gebruiker wp_capabilities, die de rol van de gebruiker op de site bepaalt, in te stellen op “admin”.
Dit geeft de aanvaller volledige toegang tot de kwetsbare site wanneer deze met succes wordt uitgebuit.”
Het admin-gebruikersniveau is het hoogste toegangsniveau op een WordPress-site.
Wat deze exploit bijzonder zorgwekkend maakt, is dat het een klasse is die “niet-geverifieerde privilege-escalatie” wordt genoemd, wat betekent dat een hacker geen enkel toegangsniveau tot de website nodig heeft om de plug-in te hacken.
Het eindlid verontschuldigt zich
Het Ultimate Member-team heeft een openbare verontschuldiging uitgebracht aan hun gebruikers waarin ze een volledig verslag gaven van alles wat er gebeurde en hoe ze reageerden.
Houd er rekening mee dat de meeste bedrijven een patch uitbrengen en zwijgen. Daarom is het prijzenswaardig en verantwoordelijk voor Ultimate Member om eerlijk te zijn tegenover haar klanten over beveiligingsincidenten.
Ultiem lid schreef:
“Allereerst willen we onze excuses aanbieden voor deze kwetsbaarheden in onze plug-in-code en voor alle getroffen websites en de bezorgdheid die dit mogelijk heeft veroorzaakt bij het leren van de kwetsbaarheden.
Zodra we ons ervan bewust werden dat er beveiligingsproblemen in de plug-in waren ontdekt, zijn we onmiddellijk begonnen met het updaten van de code om de kwetsbaarheden te verhelpen.
We hebben sinds de onthulling verschillende updates uitgebracht terwijl we aan de kwetsbaarheden werkten, en we willen het WPScan-team bedanken voor het bieden van hulp en begeleiding hierbij nadat contact met hen was opgenomen om de kwetsbaarheden bekend te maken.”
Gebruikers van plug-ins worden dringend verzocht om onmiddellijk bij te werken
WPScan-beveiligingsonderzoekers dringen er bij alle gebruikers van de plug-in op aan om hun sites onmiddellijk bij te werken naar versie 2.6.7.
Een speciale aankondiging van WPScan merkt op:
Hackcampagne die actief gebruik maakt van de Ultimate Member-plug-in
“Dit weekend is er een nieuwe versie uitgebracht, 2.6.7, die het probleem verhelpt.
Als je Ultimate Member gebruikt, upgrade dan zo snel mogelijk naar deze versie.
Dit is een zeer ernstig probleem: niet-geverifieerde aanvallers kunnen dit beveiligingslek misbruiken om nieuwe gebruikersaccounts met beheerdersrechten aan te maken, waardoor ze de volledige controle over de getroffen sites kunnen krijgen.”
Deze kwetsbaarheid heeft een score van 9,8 op een schaal van 1 tot 10, waarbij tien het ernstigste niveau is.
Het wordt ten zeerste aanbevolen dat gebruikers van de plug-in onmiddellijk updaten.
Uitgelichte afbeelding door Shutterstock/pedrorsfernandes
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
