Update: Kritische Schwachstellen in WordPress-Plugin Ultimate Member

Diese Warnmeldung wurde am 1. März 2024 aufgrund weiterführender Informationen aktualisiert.

Das Content-Management-System Wordpress enthält eine kritische Schwachstelle im Plugin Ultimate Member. Bei Angriffen kann man sich durch diese Sicherheitslücke Administratorrechte verschaffen und somit den vollständigen Zugriff auf die verwundbare Webseite bekommen. Betroffen sind alle Versionen des WordPress-Plugins Ultimate Member bis einschließlich Version 2.6.6. Die Schwachstelle mit der Bezeichnung CVE-2023-3460 hat einen CVSS-Score von 9.8 (kritisch).

Ende Januar 2024 wurde eine weitere kritische Schwachstelle CVE-2024-1071 mit einem CVSS-Score von 9.8 entdeckt. Diese betrifft die Ultimate-Member-Versionen 2.1.3 bis 2.8.2. Unter anderem berichtete die Nachrichtenseite Securityweek, dass CVE-2024-1071 SQL-Injections durch Angreifende ohne vorherige Authentifizierung ermögliche. Hierdurch könnten Kriminelle eigene Befehle oder Schadcode in eine Wordpress-Instanz einschleusen. Im Gegensatz zu CVE-2023-3460 ist CVE-2024-1071 schlechter auszunutzen, da Anwendende die Einstellung Enable custom table for usermeta aktiviert haben müssen. Dies ist keine Standardeinstellung und wird daher potenziell nicht häufig verwendet.

Trotz des Versuchs, CVE-2023-3460 in den Versionen 2.6.3, 2.6.4, 2.6.5 und 2.6.6 zu beheben, gab es weiter die Möglichkeit, die Schwachstelle auszunutzen. Nach eigenen Angaben des Anbieters von Ultimate Member steht seit Mitte Februar mit der Version 2.8.3 ein für CVE-2023-3460 und CVE-2024-1071 nicht anfälliges Update bereit. Der Anbieter rät zu einem zügigen Update.

Ultimate Member ist ein Benutzerprofil- und Mitgliedschafts-Plugin, das Anmeldungen und den Aufbau von Communitys auf WordPress-Webseiten erleichtert. Derzeit gibt es über 200.000 aktive Installationen.

Beachten Sie folgende Empfehlungen:

• Installieren Sie Version 2.8.3 von Ultimate Member schnellstmöglich. Wenn dies nicht möglich ist, deinstallieren Sie Ultimate Member sofort.
• Wenn die Kompromittierung einer Webseite festgestellt wird (siehe unten genannte Indikatoren), dann reicht es nicht aus, das Plugin zu deinstallieren, um das Risiko zu beseitigen.
  In diesem Fall müssen Webseiten-Verantwortliche vollständige Malware-Scans durchführen, um alle Spuren der Kompromittierung zu beseitigen, z. B. betrügerische Administratorkonten und alle Backdoors.

WordPress-Webseiten, die bei solchen Angriffen über CVE-2023-3460 gehackt wurden, zeigen folgende Indikatoren:

• Auftauchen neuer Administratorkonten auf der Webseite
• Verwendung folgender Benutzernamen
  • wpenginer
  • wpadmins
  • wpengine_backup
  • se_brutal
  • segs_brutal
• Protokolleinträge, die zeigen, dass als bösartig bekannte IP-Adressen auf die Registrierungsseite für Ultimate-Mitglieder zugegriffen haben
• Log-Einträge, die den Zugriff von folgenden IP-Adressen zeigen:
  • 146.70.189.245
  • 103.187.5.128
  • 103.30.11.160
  • 103.30.11.146
  • 172.70.147.176
• Auftauchen eines Benutzerkontos mit einer E-Mail-Adresse, die mit „exelica.com“ verbunden ist
• Installation neuer WordPress-Plugins und -Themen auf der Webseite