Alerta de seguridad: Vulnerabilidad activa en el plugin Ultimate Member de WordPress

La versión 2.6.7 soluciona esta vulnerabilidad, es importante actualizar.

Desde algunas plataformas de Automattic han identificado una serie de ataques a sitios comprometidos, donde aparecían continuamente nuevas cuentas de administrador sospechosas. Después una investigación, una publicación en los foros de soporte de WordPress.org por Slavic Dragovtev hablaba de un problema se seguridad de escalado de privilegios en un plugin con más de 200.000 instalaciones activas, Ultimate Member. Una vulnerabilidad que se ha estado aprovechando para explotar sitios con este plugin inseguro en el momento de escribir esta publicación.

En respuesta al informe de vulnerabilidad, los creadores del plugin lanzaron rápidamente una nueva versión, la 2.6.4, con la intención de solucionar el problema. Sin embargo, al investigar esta actualización, se han encontrado numerosos métodos para eludir el parche propuesto, lo que implica que el problema sigue siendo completamente explotable.

La situación se ha convertido en una emergencia que está afectando a miles de sitios y que deberían tomar medidas adicionales mientras se solucionan todos los problemas con otra nueva versión de Ultimate Member.

Este es un problema muy grave: los atacantes sin autentificar pueden explotar esta vulnerabilidad para crear nuevas cuentas de usuario con privilegios de administrador, lo que les otorga el poder de tomar el control completo de los sitios afectados.

Vulnerabilidad de escalado de privilegios en Ultimate Member

Plugin: Ultimate Member

Versiones Afectadas: Hasta la 2.6.6, sigue siendo explotable.

ID CVE: CVE-2023-3460
ID WPScan: 694235c7-4469-4ffd-a722-9225b19e98d7
CVSSv3.1: 9.8

En el momento de escribir esta publicación no existe una solución completa para este problema. Si bien te compartimos una descripción del problema y posibles formas de mitigarlo.

El plugin opera utilizando una lista predefinida de claves de metadatos de usuario que los usuarios no deberían manipular. Utiliza esta lista para verificar si los usuarios están intentando registrar estas claves al crear una cuenta. Este es un anti-patrón de seguridad común, donde bloquear las entradas dañinas conocidas (listas de bloqueo) puede parecer intuitivo, pero es más complicado de lo esperado y a menudo deja espacio para evadir la seguridad.

En lugar de listas de bloqueo, generalmente se recomienda usar listas de permitidos, que aprueban entradas específicas y rechazan todo lo que no llegó a la lista. Esto generalmente proporciona una medida de seguridad más robusta.

Desafortunadamente, las diferencias en cómo la lógica de la lista de bloqueo de Ultimate Member y cómo WordPress trata las claves de metadatos hicieron posible que los atacantes puedan engañar al plugin para que actualizara algunos que no debería, como «wp_capabilities«, que se usa para almacenar el rol y las capacidades de un usuario.

Indicadores de que podemos estar afectados

Estas son algunas direcciones IP que están atacando de forma activa sitio webs y que podrías bloquear, compartido por WpScan.

• 13.115.254.242
• 18.183.89.3
• 43.207.157.215
• 52.77.211.128
• 54.204.198.153
• 54.238.232.81
• 73.85.149.184
• 103.30.11.160
• 103.30.41.32
• 103.187.5.128
• 123.148.137.93
• 149.102.246.53
• 154.23.241.178
• 163.123.192.54
• 165.227.120.193
• 169.150.227.217
• 213.232.113.183

Los ataques típicos que se suelen observar para explotar esta vulnerabilidad generalmente implican los siguientes pasos:

1. Se hace una solicitud POST inicial a la página de registro de usuarios del plugin, que generalmente es «/register.»
2. Luego, el atacante intenta iniciar sesión con la cuenta recién creada utilizando la página «/wp-login.php».
3. Finalmente, se sube un plugin malicioso a través del panel de administración del sitio.

Nombres de usuario comunes para las cuentas maliciosas creadas durante la reciente ola de ataques:

• apadmins
• wpadmins
• wpenginer
• segs_brutal

Otros indicadores de que nuestro sitio podría estar comprometivo incluyen plugins maliciosos, temas y adiciones de código:

• Plugins maliciosos como «yyobang» y backdoors como «autoload_one.php» añadidos a plugins legítimos.
• Temas maliciosos como «fing».
• Modificaciones al functions.php del tema activo, incluyendo intentos de crear un usuario persistente, «wpadminns.»

Resumen de la vulnerabilidad de Ultimate Member

Recomendamos desactivar el plugin Ultimate Member hasta que se disponga de un parche que remedie completamente este problema de seguridad.

Muchas plataformas de hosting de WordPress han aplicado parches a nivel de plataforma o sistemas de seguridad WAF para tratar de mitigar la vulnerabilidad.

Te recomendamos que tomes medidas para proteger tu WordPress de esta y otras vulnerabilidades, además de soluciones WAF y Firewall, existen plugins de seguridad como iThemes Security Pro que pueden ayudarte. Pero sin olvidarte de hacer copias de seguridad regulares de tus datos y bases de datos para poder volver atrás en caso de desastre.