Взломаны 200.000 сайтов на WordPress, на которых установлен плагин Ultimate Member. Что делать?

Если на вашем сайте был установлен этот плагин – обращайтесь ко мне в телеграм или инстаграм, смогу провести сканирование и удаление вирусов с вашего сайта (стоимость услуги 30$ или 125zl) + обновление плагина Ultimate Member до последней версии, которую выпустили вчера, с закрытыми дырами в безопастности.

1 июля стал чёрным днём для многих владельцев WordPress сайтов. Взломано около 200.000 сайтов.

Ultimate Member – это плагин для профилей пользователей, который облегчает регистрацию и создание пользователей и сообществ на сайтах WordPress. В настоящее время он установлен на более чем 200 000 сайтах.

Используемая уязвимость, обозначенная как CVE-2023-3460 и имеющая оценку CVSS v3.1 в 9.8 (“критическая”), влияет на все версии плагина Ultimate Member, включая последнюю версию 2.6.6.

Хотя разработчики сначала попытались исправить уязвимость в версиях 2.6.3, 2.6.4, 2.6.5 и 2.6.6, все еще существуют способы эксплуатации уязвимости. Разработчики заявили, что продолжают работать над устранением оставшейся проблемы и надеются скоро выпустить новое обновление.

“Мы работаем над исправлениями, связанными с этой уязвимостью, с версии 2.6.3, когда мы получили сообщение от одного из наших клиентов”, написал один из разработчиков Ultimate Member.

“Версии 2.6.4, 2.6.5, 2.6.6 частично закрывают эту уязвимость, но через  специальную хакерскую программу WPScan, всё ещё можно взломать сайт. Мы также получили от них отчет со всеми необходимыми подробностями.”

“Все предыдущие версии уязвимы, поэтому настоятельно рекомендуем обновить ваш сайт до версии 2.6.6 и продолжать устанавливать обновления в будущем, чтобы получать последние обновления безопасности и функциональные улучшения.”

Если на вашем сайте был установлен этот плагин – обращайтесь ко мне в телеграм или инстаграм, смогу провести сканирование и удаление вирусов с вашего сайта (стоимость услуги 30$ или 125zl) + обновление плагина Ultimate Member до последней версии, которую выпустили вчера, с закрытыми дырами в безопастности.

Злоумышленники устанавливают значение мета-параметра пользователя “wp_capabilities”, чтобы определить свою роль пользователя как администратора, предоставляя полный доступ к уязвимому сайту.

Взломанные с использованием CVE-2023-3460 сайты WordPress будут иметь следующие признаки:

  • Появление новых учетных записей администратора на веб-сайте.
  • Использование имен пользователей wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal.
  • Записи журнала, показывающие, что известные злонамеренные IP-адреса получили доступ к странице регистрации Ultimate Member.
  • Записи журнала, показывающие доступ с IP-адресов 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 и 172.70.147.176.
  • Появление учетной записи пользователя с электронным адресом, связанным с “exelica.com”.
  • Установка новых плагинов и тем WordPress на сайте.

Поскольку критическая уязвимость остается непатченной и ее очень легко эксплуатировать, WordFence рекомендует немедленно удалить плагин Ultimate Member.

Wordfence объясняет, что даже правило брандмауэра, специально разработанное для защиты своих клиентов от этой угрозы, не охватывает все потенциальные сценарии эксплуатации, поэтому удаление плагина до тех пор, пока его разработчик не решит проблему, является единственным разумным действием.

Если обнаружено, что сайт был скомпрометирован, на основе указанных выше индикаторов компрометации удаление плагина будет недостаточным для устранения риска.

В таких случаях владельцам веб-сайтов необходимо провести полное сканирование на предмет вредоносных программ, чтобы устранить все остатки компрометации, такие как фальшивые учетные записи администратора и любые задние двери, которые они создали.

Если на вашем сайте был установлен этот плагин – обращайтесь ко мне в телеграм или инстаграм, смогу провести сканирование и удаление вирусов с вашего сайта (стоимость услуги 30$ или 125zl) + обновление плагина Ultimate Member до последней версии, которую выпустили вчера, с закрытыми дырами в безопастности.