האקרים מנצלים פגיעות אבטחה יום אפס של הסלמת הרשאות בתוסף וורדפרס Ultimate Member כדי לפרוץ לאתרי אינטרנט על ידי עקיפת אמצעי אבטחה והקמת חשבונות מנהלים מטעמם. Ultimate Member הינו תוסף פרופיל משתמש המאפשר הרשמות ובניית קהילות באתרי וורדפרס וכיום יש לו למעלה מ- 200,000 התקנות פעילות.
פגם האבטחה דורג כקריטי והוא משפיע על כל הגרסאות של התוסף Ultimate Member, כולל הגרסה האחרונה שלו v2.6.6. בעוד שמפתחי התוסף ניסו תחילה לתקן את הפגם בגרסאות 2.6.3, 2.6.4, 2.6.5 ו- 2.6.6, עדיין קיימות דרכים לנצל את הפגם. המפתחים טוענים שהם ממשיכים לעבוד על פתרון הבעיה ומקווים לשחרר עדכון חדש בקרוב: "אנו עובדים על התיקונים הקשורים לפגיעות זו מאז גירסת 2.6.3 כאשר אנו מקבלים דיווח מאחד הלקוחות שלנו", פרסם אחד ממפתחי Ultimate Member והוסיף: "גרסאות 2.6.4, 2.6.5, 2.6.6 סוגרות חלקית את פגיעות האבטחה הזו, אולם אנחנו עדיין עובדים יחד עם צוות WPScan להשגת התוצאה הטובה ביותר. כל הגרסאות הקודמות פגיעות ולכן אנו ממליצים בחום לשדרג לגירסה 2.6.6 ולשמור עדכונים בעתיד לקבלת שיפורי האבטחה והתכונות העדכניים."
מתקפות הסייבר המנצלות את פגיעות יום האפס הזה התגלו על ידי מומחי אבטחת אתרים ב- Wordfence, אשר מזהירים כי האקרים מנצלים את הפגיעות על ידי שימוש בטפסי הרישום של התוסף כדי להגדיר ערכי מטא שרירותיים של משתמשים בחשבונותיהם. ליתר דיוק, מגדירים התוקפים את המטא ערך של המשתמש "wp_capabilities כדי להגדיר את תפקיד המשתמש שלהם כמנהלי מערכת, מה שמעניק להם גישה מלאה לאתר הפגיע.
אתרי וורדפרס שנפרצו באמצעות פגם האבטחה במתקפות הסייבר הללו יציגו את האינדיקטורים הבאים: הופעה של חשבונות מנהלים חדשים באתר; שימוש בשמות המשתמש wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal; רשומות יומן המראות שכתובות IP ידועות כזדוניות ניגשו לדף הרישום Ultimate Member; רשומות יומן המציגות גישה מהכתובות 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 ו- 172.70.147.176; הופעה של חשבון משתמש עם כתובת אימייל המשויכת ל- exelica.com; התקנת תוספים וערכות נושא חדשות באתר.
מכיוון שהפגם הקריטי נותר ללא תיקון והוא כל כך קל לניצול, ממליצה Wordfence להסיר את התוסף Ultimate Member מאתרי וורדפרס באופן מיידי. Wordfence מסבירה שאפילו כלל חומת האש שפיתחה במיוחד כדי להגן על לקוחותיה מפני האיום הזה, אינו מכסה את כל תרחישי הניצול הפוטנציאליים, כך שהסרת התוסף עד שחברת הפיתוח שלו תטפל בבעיה, היא הפעולה הנבונה היחידה.
