Des pirates exploitent la faille non corrigée d’un plugin WordPress pour créer des comptes d’administrateur secrets

La faille, répertoriée sous le nom de CVE-2023-3460 (score CVSS : 9.8), affecte toutes les versions du plugin Ultimate Member, y compris la dernière version (2.6.6) qui a été publiée le 29 juin 2023.

Ultimate Member est un plugin populaire qui facilite la création de profils d’utilisateurs et de communautés sur les sites WordPress. Il offre également des fonctions de gestion de compte.

« Il s’agit d’un problème très sérieux : des attaquants non authentifiés peuvent exploiter cette vulnérabilité pour créer de nouveaux comptes d’utilisateurs avec des privilèges administratifs, ce qui leur permet de prendre le contrôle complet des sites concernés », a déclaré WPScan, une société spécialisée dans la sécurité des sites WordPress, dans un bulletin d’alerte.

Bien que les détails de la faille n’aient pas été divulgués en raison d’abus actifs, elle découle d’une logique de liste de blocage inadéquate mise en place pour modifier la méta-valeur wp_capabilities user d’un nouvel utilisateur en celle d’un administrateur et obtenir un accès complet au site.

« Bien que le plugin dispose d’une liste prédéfinie de clés interdites, qu’un utilisateur ne devrait pas être en mesure de mettre à jour, il existe des moyens triviaux de contourner les filtres mis en place, tels que l’utilisation de différentes majuscules, barres obliques et codage de caractères dans une valeur de clé méta fournie dans les versions vulnérables du plugin », a déclaré Chloe Chamberland, chercheuse chez Wordfence.

Le problème a été mis en lumière après l’apparition de rapports faisant état de l’ajout de comptes d’administrateurs malhonnêtes sur les sites concernés, ce qui a incité les responsables du plugin à publier des correctifs partiels dans les versions 2.6.4, 2.6.5 et 2.6.6. Une nouvelle mise à jour devrait être publiée dans les prochains jours.

« Une vulnérabilité d’escalade de privilèges utilisée à travers UM Forms », a déclaré Ultimate Member dans ses notes de publication pour la version 2/6/4/. « Connue dans la nature, cette vulnérabilité permettait à des étrangers de créer des utilisateurs WordPress de niveau administrateur ». Cependant, WPScan a souligné que ces correctifs sont incomplets et qu’il a trouvé de nombreuses méthodes pour les contourner, ce qui signifie que le problème est toujours activement exploitable. Dans les attaques observées, cette faille est utilisée par des attaquants qui enregistrent de nouveaux comptes sous des noms tels que apadmins se_brutal segs_brutal wpadmins wpengine_backup et wpenginer qui téléchargent des plugins et des thèmes malveillants via le panneau d’administration sur les sites des victimes… Il est conseillé aux utilisateurs d’Ultimate Member de désactiver le plugin jusqu’à ce qu’un correctif adéquat soit disponible pour combler complètement la faille de sécurité ; il est également recommandé d’auditer tous les utilisateurs de niveau administrateur pour déterminer si des comptes non autorisés ont été ajoutés…