Vulnerabilidades en plugin de WordPress pueden permitir secuestrar hasta 100 mil sitios
Se insta a los administradores de los sitios de WordPress que utilizan el complemento Ultimate Member a que lo actualicen a la última versión. Deben hacerlo para bloquear los ataques que intentan explotar múltiples vulnerabilidades críticas y fáciles de explotar que podrían conducir a adquisiciones de sitios.
Ultimate Member es un complemento extensible de WordPress con más de 100,000 instalaciones activas. El plugin está diseñado para facilitar la tarea de administración de perfiles y membresías.
El complemento (plugin) proporciona soporte para la creación de sitios web, lo que permite registrarse fácilmente y construir comunidades en línea con privilegios personalizados. Esto para que los usuarios tengan diferentes roles en el sitio.
Vulnerabilidades de escalada de privilegios
En un informe publicado hoy por el equipo de Inteligencia de Amenazas de Wordfence se revelaron las vulnerabilidades. La analista de amenazas Chloe Chamberland dijo que las tres vulnerabilidades reveladas por Wordfence podrían haber permitido a los atacantes escalar privilegios a administradores y apoderarse completamente de cualquier sitio. Podrían haberse hecho cargo de cualquier sitio de WordPress utilizando una instalación vulnerable de Ultimate Member.
Después de revelar las vulnerabilidades al equipo de desarrollo del plugin el 26 de octubre, los tres errores de escalada de privilegios se solucionaron. Fueron parcheados con el lanzamiento de Ultimate Member 2.1.12 el 29 de octubre.
Wordfence considera que una de ellass es “muy crítico”. Esto porque “hace posible que los usuarios originalmente no autenticados escalen fácilmente sus privilegios a los de un administrador”.
“Una vez que un atacante tiene acceso administrativo a un sitio de WordPress, se ha apoderado de todo el sitio. Este puede realizar cualquier acción, desde desconectar el sitio hasta infectarlo con malware”, explicó Chamberland.
Dos de las vulnerabilidades recibieron una calificación máxima de gravedad CVSS de 10/10. Esto porque son vulnerabilidades de escalada de privilegios no autenticados a través del user meta (que otorga acceso de administrador al registrarse). Asimismo, por lo roles de usuario (rol de administrador seleccionado durante el registro).
La tercera fue calificada con 9.8/10 ya que requiere acceso wp-admin a la página profile.php del sitio. Empero, aún se considera crítico ya que permite que cualquier atacante autenticado eleve privilegios de administrador con muy poco esfuerzo.
Miles de sitios aún expuestos a ataques
Aunque Ultimate Member 2.1.12, la versión que corrige las tres vulnerabilidades, se lanzó el 26 de octubre, el plugin se descargó aproximadamente 75,000 veces. Casi 32,000 sitios lo hicieron el día después del lanzamiento de la actualización. Esto según los datos de descarga históricos, incluidas las actualizaciones y las nuevas instalaciones.
Esto significa que al menos 25,000 sitios web de WordPress con instalaciones activas de Ultimate Member todavía están potencialmente expuestos a ataques. Es decir, son vulnerables si los actores de amenazas comienzan a explotar estas vulnerabilidades como parte de futuras campañas maliciosas.
Se insta a los usuarios de Ultimate Member a actualizar el plugin a 2.1.12 lo antes posible. Lo deben hacer para evitar ataques diseñados para apoderarse de sitios que ejecutan versiones vulnerables de este complemento.
Para poner las cosas en perspectiva cuando se trata del interés de los actores de amenazas en secuestrar sitios de WordPress te mencionamos un ejemplo. hace dos meses varios de ellos intentaban activamente tomar el control de más de 600,000 sitios que ejecutan versiones sin parches del plugin File Manager.
La vulnerabilidad que intentaron explotar permite a atacantes no autenticados cargar archivos PHP maliciosos y ejecutar código arbitrario en sitios comprometidos.
En total, los investigadores detectaron ataques que intentaban explotar la vulnerabilidad que se originaban en más de 370,000 direcciones IP separadas. Casi sin superposición en la actividad de acceso.