Više od 200.000 WordPress sajtova izloženo stalnim napadima zbog greške u popularnom dodatku
Vesti, 04.07.2023, 09:00 AM
Više od 200.000 WordPress veb sajtova izloženo je stalnim napadima koji ciljaju na kritičnu ranjivost u dodatku Ultimate Member.
Dizajniran da korisnicima olakša registraciju i prijavu na sajtove, ovaj dodatak omogućava vlasnicima sajtova da dodaju korisničke profile, definišu uloge, kreiraju prilagođena polja obrazaca i direktorijume članova i još mnogo toga.
Greška praćena kao CVE-2023-3460 (CVSS skor 9,8) utiče na sve verzije dodatka Ultimate Member, uključujući i verziju (2.6.6) koja je objavljena 29. juna. Ona omogućava napadačima da kreiraju nove korisničke naloge sa administratorskim privilegijama, i da preuzmu potpunu kontrolu nadu nad ranjivim sajtovima.
Problem je izašao na videlo kada su se pojavili prvi izveštaji o dodavanju lažnih administratorskih naloga na ranjivim sajtovima. Napadi su najverovatnije počeli pre mesec dana, ako ne i ranije.
Iako detalji o grešci nisu otkriveni zbog moguće zloupotrebe, prema objašnjenju koje je dao WPScan, problem je u sukobu između logike blok liste dodatka i načina na koji WordPres tretira ključeve metapodataka. Ultimate Member koristi blok liste za skladištenje ključeva metapodataka kojima korisnici ne bi trebalo da manipulišu i proverava ove liste kad god korisnici pokušaju da registruju ove ključeve prilikom kreiranja naloga. Zbog razlike u radu dodatka i WordPressa, napadači su uspeli da prevare dodatak da ažurira ključeve metapodataka, uključujući onaj koji čuva korisničku ulogu i mogućnosti, objašnjava WPScan.
Ovo je omogućilo napadačima da registruju korisničke naloge sa ulogom administratora, a najmanje dva vlasnika sajtova su primetila i prijavila sumnjivu aktivnost.
Programeri dodatka, koji opisuju problem kao grešku eskalacije privilegija, pokušali su da je reše u poslednje dve verzije Ultimate Membera, ali po svemu sudeći nisu uspeli da ga u potpunosti zakrpe jer je WPScan testirajući zakrpe, pronašao brojne metode da ih zaobiđe, što znači da se greška i dalje može iskoristiti.
Programeri dodatka su priznali da su u toku napadi na sajtove u kojima se iskorišćava ova greška.
Vlasnicima sajtova se savetuje da onemoguće Ultimate Member sve dok ne bude dostupna odgovarajuća zakrpa. Takođe se preporučuje revizija svih administratora na sajtovima koji koriste dodatak da bi se eventualno identifikovali lažni nalozi.
Autori Ultimate Membera su 1. jula objavili verziju 2.6.7 dodatka a kao dodatnu bezbednosnu meru, oni planiraju novu funkciju dodatka koja bi omogućila administratorima veb sajtova da resetuju lozinke za sve korisnike.
Foto: Stephen Phillips - Hostreviews.co.uk / Unsplash
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade