Sicherheitsupdate: Attacken auf WordPress-Plug-in Ultimate Member
Derzeit nutzen Angreifer eine kritische Lücke im WordPress-Plug-in Ultimate Member aus. Der Anbieter rät zu einem zügigen Update.
(Bild: Skorzewiak/Shutterstock.com)
WordPress-Admins aufgepasst: Sicherheitsforscher beobachten derzeit vermehrt Attacken auf das Plug-in Ultimate Member. Ein Sicherheitspatch ist verfügbar und Website-Betreiber sollten zeitnah handeln.
Admin-Lücke
Mit Ultimate Membership können Website-Admins Profile und Mitgliedschaften verwalten. Das Plug-in weist mehr als 200.000 aktive Installationen auf.
Die Sicherheitslücke (CVE-2023-3460) ist mit dem Bedrohungsgrad „kritisch“ eingestuft, führen Sicherheitsforscher von WPScan in einem Beitrag aus. Setzen Angreifer erfolgreich an der Schwachstelle an, können sie sich Admin-Rechte verschaffen. Um die Attacken nicht noch weiter anzukurbeln, erläutern die Sicherheitsforscher derzeit keine Details zu möglichen Angriffsszenarien.
In ihrem Beitrag führen die Forscher Hinweise für eine Attacke auf (Indicator of Compromise IoC). Darunter finden sich auch IP-Adressen, von denen Angriffe ausgehen. Website-Betreiber sollten nach Fake-Admin-Accounts mit Bezeichnungen wie "apadmins", "wpadmins" oder "segs_brutal" Ausschau halten. Außerdem sollten sie von den Angreifern installierte Plug-ins wie "yyobang" und Hintertüren löschen.
Sicherheitspatch jetzt installieren
Die Entwickler geben an, das Sicherheitsproblem in der Ausgabe 2.6.7 gelöst zu haben. Admins sollten sicherstellen, dass diese Version installiert ist. Die Lücke ist seit Anfang Juni 2023 bekannt. Erste Attacken wurden Ende Juni beobachtet.
Die Entwickler haben zwar relativ zeitnah ein Sicherheitsupdate veröffentlicht, doch die Sicherheitsforscher konnten den Fix eigenen Angaben zufolge umgehen. Die vollständig gegen die Attacken abgesicherte Version 2.6.7 erschien dann Anfang Juli. Der Anbieter von Ultimate Member rät zu einem zügigen Update.
(des)
