Posté le juillet 2, 2023 à 6:57

DES HACKERS EXPLOITENT UNE VULNÉRABILITÉ ZERO DAY DANS LE PLUGIN WORDPRESS ULTIMATE MEMBER QUI COMPTE 200 000 INSTALLATIONS

Des hackers ont exploité une vulnérabilité zero day dans le plugin WordPress “Ultimate Member”. Cette vulnérabilité d’escalade des privilèges a été exploitée pour mener des opérations de piratage contre des sites web tout en contournant les règles de sécurité mises en place. La faille peut aussi être exploitée pour enregistrer des comptes administrateurs malveillants.

Des hackers exploitent la faille zero day du plugin WordPress Ultimate Member

Ultimate Member est un plugin de profil d’utilisateur et d’adhésion. Ce plugin facilite un large éventail de fonctions, telles que l’inscription et la création de communautés sur les sites WordPress. Ce plugin est l’un des outils les plus utilisés, puisqu’il compte plus de 200 000 installations actives.

La vulnérabilité exploitée par les hackers est répertoriée sous le nom de CVE-2023-3460. La faille a un score CVSS v3.1 de 9,8, ce qui est considéré comme critique. De plus, elle affecte toutes les versions du plugin Ultimate Member, y compris la dernière version, v2.6.6.

Les développeurs avaient initialement tenté de publier un correctif pour remédier à cette faille de sécurité. Le correctif était disponible pour les versions 2.6.2, 2.6.4, 2.6.5 et 2.6.6. Cependant, le correctif n’a pas entièrement résolu le problème en question, car il existe encore des moyens que les hackers peuvent utiliser pour exploiter la vulnérabilité et causer des dommages importants aux appareils ciblés.

Selon les développeurs, ils continueront à travailler sur le processus de résolution du problème en suspens avec la faille. Ils prévoient aussi qu’un correctif qui résoudra entièrement le problème et empêchera d’autres exploits de se produire sera bientôt proposé.

L’un des développeurs d’Ultimate Member a déclaré que l’entreprise travaillait à la publication d’un correctif lié à la faille de sécurité depuis la version 2.6.3. Le développeur a précisé que de tels problèmes seraient résolus dès qu’un client en ferait état.

« Les versions 2.6.4, 2.6.5 et 2.6.6 comblent partiellement cette vulnérabilité, mais nous continuons à travailler avec l’équipe de WPScan pour obtenir les meilleurs résultats. Nous recevons aussi leur rapport avec tous les détails nécessaires », a déclaré l’un des développeurs d’Ultimate Member.

Le développeur a noté que toutes les versions précédentes étaient encore vulnérables aux exploits. La plateforme a donc recommandé aux utilisateurs d’effectuer des mises à jour de leurs sites web pour passer à la version 2.6.6. Il a aussi été recommandé aux utilisateurs de maintenir leurs mises à jour à l’avenir en accédant aux récentes améliorations de la sécurité et des fonctionnalités.

Les attaquants exploitent la faille CVE-2023-3460

Les acteurs de la menace ont mené une myriade d’attaques exploitant cette faille de sécurité. Les exploits ont été détectés par les chercheurs en cybersécurité de Wordfence. Ces chercheurs ont averti que des hackers exploitaient cette faille de sécurité à travers les formulaires d’inscription du plugin. Les exploits étaient réalisés pour définir des méta-valeurs arbitraires sur les comptes d’utilisateurs.

L’acteur de la menace à l’origine de ces campagnes a également utilisé la méta-valeur utilisateur « wp_capabilities » pour définir son rôle d’administrateur sur la plateforme. En tant que tel, il dispose généralement d’un accès complet au site vulnérable aux attaques.

Le plugin est en outre accompagné d’une liste de blocage contenant les clés qui ne peuvent pas être mises à niveau. Cependant, les chercheurs de Wordfence ont noté que le contournement de la mesure de protection n’avait pas beaucoup d’impact.

Plusieurs sites WordPress ont été compromis par cette faille de sécurité. De multiples changements interviennent une fois que les hackers ont exploité la faille sur le dispositif ciblé. L’utilisateur remarquera de nouveaux comptes administrateurs sur le site web ciblé. Des noms d’utilisateurs tels que se_brutal, segs_brutal, wpadmins, wpengine_backup, et wpenginer seront également visibles.

La faille peut par ailleurs être détectée par des enregistrements de journaux montrant que des adresses IP malveillantes ont été utilisées pour accéder à la page d’enregistrement Ultimate Member. Des comptes d’utilisateurs utilisant des adresses électroniques liées à exelica.com apparaîtront également. Enfin, l’exploitation de la faille peut être détectée par l’installation de nouveaux plugins et thèmes WordPress sur le site ciblé.

Cette vulnérabilité critique n’a pas encore reçu de correctif, ce qui la rend facile à exploiter. WordFence a donc recommandé de désinstaller le plugin Ultimate Member afin de protéger les utilisateurs et de s’assurer que les hackers sont tenus à distance.

Wordfence a également déclaré que la règle de pare-feu qu’il a développée pour protéger les clients ne peut pas protéger complètement contre l’exploitation possible de la faille. Par conséquent, la seule option dont disposent les utilisateurs est de désinstaller le plugin jusqu’à ce que l’éditeur ait mis au point et publié une faille qui empêchera d’autres exploitations.

Lorsqu’il s’avère qu’un site a été compromis par ces attaques, la suppression du plugin ne suffit pas à résoudre le problème. Dans de tels cas, les propriétaires de sites web doivent lancer des analyses de logiciels malveillants qui élimineront les vestiges de la compromission, y compris les comptes d’administrateurs malveillants et les portes dérobées.