ปัจจุบันมีจำนวนเว็บไซต์ WordPress มากถึง 200,000 เว็บไซต์ที่มีความเสี่ยงต่อการโจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ยังไม่ได้รับการแก้ไขในปลั๊กอิน Ultimate Member
ช่องโหว่นี้มีหมายเลข CVE-2023-3460 (คะแนน CVSS: 9.8) มีผลกระทบต่อเวอร์ชันทั้งหมดของปลั๊กอิน Ultimate Member รวมถึงเวอร์ชันล่าสุด (เวอร์ชัน 2.6.6) ที่ปล่อยออกมาเมื่อวันที่ 29 มิถุนายน 2023
Ultimate Member เป็นปลั๊กอินที่ได้รับความนิยมสำหรับการสร้างโปรไฟล์ผู้ใช้งาน และชุมชนบนเว็บไซต์ WordPress โดยยังมีฟีเจอร์การจัดการบัญชีให้ใช้งานอีกด้วย
WPScan บริษัทความปลอดภัยของ WordPress ได้แจ้งเตือนว่า "ช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์อาจใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ ซึ่งจะทำให้พวกเขามีสิทธิ์ในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ"
แม้ว่าจะยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่ แต่ช่องโหว่นี้เกิดจาก blocklist logic ที่ไม่เหมาะสม ซึ่งถูกนำเข้ามาเพื่อเปลี่ยนค่าของ wp_capabilities ในข้อมูลของผู้ใช้งานใหม่ให้เป็นผู้ดูแลระบบ และทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงเต็มรูปแบบของเว็บไซต์
นักวิจัยจาก Wordfence ชื่อ Chloe Chamberland ระบุว่า "แม้ว่าปลั๊กอินจะมีรายการคีย์ที่ถูกห้ามตามที่กำหนดไว้ล่วงหน้า ซึ่งผู้ใช้งานไม่ควรสามารถอัปเดตได้ แต่ก็มีวิธีเล็ก ๆ น้อย ๆ ในการเลี่ยงผ่านการตรวจสอบ เช่นการใช้ตัวอักษรต่าง ๆ, slashes และการเข้ารหัสตัวอักษรในค่า meta key ที่มีช่องโหว่ในเวอร์ชันของปลั๊กอิน"
ช่องโหว่นี้ถูกเปิดเผยขึ้นภายหลังจากที่มีรายงานเกี่ยวกับการเพิ่มบัญชีผู้ดูแลระบบที่ไม่ถูกต้องไปยังเว็บไซต์ที่ได้รับผลกระทบ ส่งผลให้ผู้ดูแลปลั๊กอินต้องออกเวอร์ชันแก้ไขบางส่วนในเวอร์ชัน 2.6.4, 2.6.5, และ 2.6.6 โดยการอัปเดตใหม่คาดว่าจะถูกปล่อยในเร็ว ๆ นี้
Ultimate Member ระบุในบันทึกการอัปเดตว่า "ช่องโหว่ในการยกระดับสิทธิพิเศษที่ใช้ผ่าน UM Forms ทำให้ผู้โจมตีสามารถสร้างผู้ใช้งาน WordPress ระดับผู้ดูแลระบบได้"
WPScan ระบุว่าการแก้ไขช่องโหว่ยังไม่สมบูรณ์ และพบวิธีการหลีกเลี่ยงการตรวจสอบที่สามารถใช้ได้ ซึ่งหมายความว่าช่องโหว่ยังคงสามารถถูกนำมาใช้ประโยชน์ในการโจมตีได้อย่างต่อเนื่อง
ในการโจมตีที่ตรวจพบ ช่องโหว่ถูกนำมาใช้ในการลงทะเบียนบัญชีใหม่ในชื่อ apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup, และ wpenginer เพื่ออัปโหลดปลั๊กอินที่เป็น malware และ themes ผ่านทาง administration panel ของเว็บไซต์
ผู้ใช้งาน Ultimate Member ควรปิดการใช้งานปลั๊กอินจนกว่าจะมีการแก้ไขที่เหมาะสม ในการปิดช่องโหว่ด้านความปลอดภัยได้อย่างสมบูรณ์ นอกจากนี้ยังแนะนำให้ตรวจสอบผู้ใช้งานระดับผู้ดูแลระบบทั้งหมดบนเว็บไซต์เพื่อตรวจสอบว่ามีบัญชีที่ไม่ได้รับอนุญาตถูกเพิ่มเข้ามาหรือไม่
Ultimate Member เวอร์ชัน 2.6.7 ถูกปล่อยออกมาแล้ว
Ultimate Member ได้ปล่อยแพตซ์อัปเดตเวอร์ชัน 2.6.7 ของปลั๊กอิน เมื่อวันที่ 1 กรกฎาคม 2023 เพื่อแก้ไขช่องโหว่การเพิ่มสิทธิ์ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ในมาตรการความปลอดภัยเพิ่มเติม ผู้พัฒนายังวางแผนที่จะเพิ่มคุณสมบัติใหม่ในปลั๊กอินเพื่อให้ผู้ดูแลเว็บไซต์สามารถรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานทั้งหมดได้
ผู้พัฒนาระบุว่า "ในเวอร์ชัน 2.6.7 ได้ทำการเพิ่มรายการที่อนุญาตให้ใช้งานเฉพาะ (whitelisting) สำหรับ meta keys ที่เก็บไว้ขณะที่ sending forms" และยังแยกข้อมูลการตั้งค่าแบบฟอร์ม, ข้อมูลที่ส่งเข้ามาแยกกัน และดำเนินการด้วยตัวแปรสองตัวที่แตกต่างกัน
ที่มา: https://thehackernews.