Cyberthreat.id - Sebanyak 200.000 situs web WordPress berisiko mengalami serangan berkelanjutan yang mengeksploitasi kerentanan keamanan kritis yang belum ditambal di plugin Ultimate Member.

“Cacat tersebut, dilacak sebagai CVE-2023-3460 (skor CVSS: 9.8), memengaruhi semua versi plugin Ultimate Member, termasuk versi terbaru (2.6.6) yang dirilis pada 29 Juni 2023,” tulis The Hacker News.

Ultimate Member adalah plugin populer yang memfasilitasi pembuatan profil pengguna dan komunitas di situs WordPress. Ini juga menyediakan fitur manajemen akun.

"Ini adalah masalah yang sangat serius: penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan ini untuk membuat akun pengguna baru dengan hak administratif, memberi mereka kekuatan untuk mengambil kendali penuh atas situs yang terpengaruh," kata perusahaan keamanan WordPress WPScan dalam sebuah peringatan sebagaimana dikutip The Hacker News.

Meskipun rincian tentang cacat telah dirahasiakan karena penyalahgunaan aktif, itu berasal dari logika daftar blokir yang tidak memadai yang memungkinkan penyerang mengubah nilai meta pengguna wp_capabilities dari pengguna baru menjadi administrator dan mendapatkan akses penuh ke situs.

"Sementara plugin memiliki daftar kunci yang dilarang yang ditentukan sebelumnya, yang seharusnya tidak dapat diperbarui oleh pengguna, ada cara sepele untuk mem-bypass filter yang diterapkan seperti menggunakan berbagai kasus, garis miring, dan pengkodean karakter dalam nilai kunci meta yang disediakan dalam versi plugin yang rentan," kata peneliti Wordfence Chloe Chamberland kepada The Hacker News.

Masalah terungkap setelah muncul laporan tentang akun administrator jahat yang ditambahkan ke situs yang terpengaruh, mendorong pengelola plugin untuk mengeluarkan perbaikan parsial di versi 2.6.4, 2.6.5, dan 2.6.6. Pembaruan baru diharapkan akan dirilis dalam beberapa hari mendatang.

"Kerentanan eskalasi hak istimewa yang digunakan melalui Formulir UM," kata Ultimate Member dalam catatan rilisnya. "Dikenal secara luas bahwa kerentanan memungkinkan orang asing membuat pengguna WordPress tingkat administrator."

WPScan, bagaimanapun, menunjukkan bahwa tambalan tidak lengkap dan menemukan banyak metode untuk menghindarinya, yang berarti masalah tersebut masih dapat dieksploitasi secara aktif.

Dalam serangan yang diamati, cacat tersebut digunakan untuk mendaftarkan akun baru dengan nama apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup, dan wpenginer untuk mengunggah plugin dan tema berbahaya melalui panel administrasi situs.

Pengguna Ultimate Member disarankan untuk menonaktifkan plugin sampai tambalan yang tepat yang benar-benar menyumbat lubang keamanan tersedia. Juga disarankan untuk mengaudit semua pengguna tingkat administrator di situs web untuk menentukan apakah ada akun yang tidak sah telah ditambahkan.

Penulis Ultimate Member telah merilis plugin versi 2.6.7 pada tanggal 1 Juli untuk mengatasi kelemahan eskalasi hak istimewa yang dieksploitasi secara aktif. Sebagai tindakan keamanan tambahan, mereka juga berencana untuk mengirimkan fitur baru di dalam plugin untuk memungkinkan administrator situs web mengatur ulang kata sandi untuk semua pengguna.[]

"2.6.7 memperkenalkan daftar putih untuk kunci meta yang kami simpan saat mengirim formulir," kata pengelola dalam penasehat independen. "2.6.7 juga memisahkan data pengaturan formulir dan data yang dikirimkan dan mengoperasikannya dalam 2 variabel berbeda."[]