Il 26 giugno scorso è stata scoperta una gravissima vulnerabilità del plugin Ultimate Member di WordPress, che permette di compromettere con molta semplicità qualsiasi sito web su cui è installato.
Argomenti principali
Nei giorni successivi alla segnalazione della vulnerabilità, sono stati rilasciati diversi aggiornamenti dagli sviluppatori di Ultimate member per risolvere questa falla di sicurezza, ma la versione che impedisce definitivamente l’hacking è la 2.6.7, rilasciata qualche ora fa oggi 1 luglio 2023.
Vediamo insieme quali versioni del plugin Ultimate Member per WordPress sono vulnerabili e cosa fare per proteggersi.
Ultimate Member: a cosa serve?
Ultimate Member è un plugin che estende le funzionalità della gestione degli utenti di WordPress, permettendo di trasformare il sito in una piattaforma di membership per erogare contenuti digitali ai propri utenti, in base a diverse possibilità di sottoscrizione.
Si tratta di un plugin discretamente diffuso, con più di 200.000 installazioni attive in tutto il mondo e circa 1.400 recensioni nella directory dei plugin WordPress, con un voto medio di 4,4 su 5.
Quanto è grave questo problema di sicurezza?
A causa di questa vulnerabilità, è possibile registrare un utente su un sito WordPress e assegnargli automaticamente privilegi amministrativi. La classificazione della vulnerabilità è infatti tra quelle che farebbero venire i brividi anche ai maggiori esperti di cybersicurezza, si tratta di un “escalation di privilegi” ( in inglese Privilege Escalation).
In base al Common Vulnerability Scoring System, lo standard utilizzato a livello mondiale per valutare la gravità delle vulnerabilità di un sistema informatico, questa falla di sicurezza è giudicata davvero grave, con un punteggio assegnato di 9.8 su 10.
Quali versioni del plugin sono vulnerabili?
Secondo quanto riportato dal report pubblicato dall’azienda WPScan, le versioni affette dalla vulnerabilità sono quelle minori o uguali alla versione 2.6.6. Inizialmente gli sviluppatori del plugin hanno rilasciato due aggiornamenti per chiudere la falla di sicurezza con le versioni 2.6.5 e 2.6.6, ma secondo quanto affermato da WPScan in un update di ieri 30 giugno, le patch applicate non sono state sufficienti per evitare l’hacking, che è stato definitivamente impedito con la versione 2.6.7.
Ecco come si presenta il plugin nella dashboard di WordPress:
Nella cartella dei plugin invece, cioè la wp-content del vostro sito che potete visualizzare tramite qualsiasi file manager oppure via SFTP o shell, troverete il plugin nominato in questo modo:
Sintomi di un sito attaccato con questa vulnerabilità
Se state utilizzando questo plugin, immaginiamo vogliate sapere se il vostro sito sia già stato compromesso tramite questa vulnerabilità. Scoprirlo è relativamente semplice, in quanto il primo importante segnale è la presenza di un utente con privilegi amministrativi che non dovrebbe risultarvi per nulla familiare.
Alcuni username utilizzati più comunemente fino ad ora dagli hacker durante la registrazione sono questi:
- apadmins
- wpadmins (il più utilizzato)
- wpenginer
- wpengine_backup
- segs_brutal
- se_brutal
ma potrebbero cambiare molto in fretta.
Una volta eseguito l’accesso al sito come amministratori, gli hacker possono anche installare plugin e temi a piacimento, oppure modificare il functions.php del tema utilizzato per inserire codice malevolo aggiuntivo.
Cosa fare per proteggersi?
Per proteggersi è sufficiente aggiornare il plugin Ultimate member alla versione 2.6.7 o successive.
Come accaduto in passato, considerata la gravità della vulnerabilità e la relativa facilità con cui può essere sfruttata, il nostro team sistemistico ha aggiornato le versioni vulnerabili del plugin Ultimate Member (dalla versione 2.1 e successive) su tutti i siti web ospitati in Ergonet.
Conclusioni e fonti
Quando si tratta di aggiornamenti di sicurezza, la velocità con cui si mettono in atto le patch fornite dagli sviluppatori è di importanza fondamentale per un webmaster e il suo sito web. Scegliere un servizio di hosting che interviene prontamente in situazioni così gravi, può fare la differenza per un progetto che deve puntare al successo.
Trasmetto nel mondo online e offline i valori di Ergonet: la voce del servizio clienti, il codice degli sviluppatori e l’infrastruttura dei sistemisti. Lavoro nel settore hosting da più di 15 anni, amo internet e cerco di renderlo migliore ogni giorno che passa.
