ثغرة أمنية في مكون WordPress الإضافي CVE-2024-1071

تم الكشف عن ثغرة أمنية مثيرة للقلق في مكون WordPress الإضافي المستخدم على نطاق واسع والمعروف باسم Ultimate Member، والذي يضم أكثر من 200000 عملية تثبيت نشطة. هذا الخلل، الذي تم تحديده باسم CVE-2024-1071 وحصل على درجة CVSS تبلغ 9.8 من 10، تم تسليط الضوء عليه من قبل الباحث الأمني كريستيان سويرز.

وفقًا للتحذير الصادر للمستخدمين، تتواجد الثغرة الأمنية في الإصدارات 2.1.3 إلى 2.8.2 من المكون الإضافي وترتبط بـ SQL حقن من خلال معلمة "الفرز". ينبع هذا الضعف من عدم كفاية الابتعاد عن الإطار الذي يوفره المستخدم ونقص الإعداد الكافي لاستعلام SQL الحالي. ونتيجة لذلك، يمكن للجهات الفاعلة الضارة دون المصادقة استغلال هذا الخلل لإدخال استعلامات SQL التكميلية في الاستعلامات الموجودة مسبقًا، مما يؤدي إلى استخراج البيانات الحساسة من قاعدة البيانات.

من المهم الإشارة إلى أن هذه المشكلة تؤثر حصريًا على المستخدمين الذين قاموا بتمكين خيار "تمكين الجدول المخصص لـ usermeta" في إعدادات المكون الإضافي.

يجب على المستخدمين تحديث المكونات الإضافية الخاصة بهم في أقرب وقت ممكن

بعد الكشف المسؤول عن الثغرة الأمنية الخطيرة، عالج مطورو البرنامج الإضافي المشكلة على الفور من خلال إصدار الإصدار 2.8.3 في 19 فبراير.

يُنصح المستخدمون بشدة بتسريع تحديث البرنامج الإضافي إلى الإصدار الأحدث لتقليل التهديدات المحتملة. تعتبر هذه التوصية حاسمة بشكل خاص حيث أن Wordfence قد أحبط بالفعل هجومًا يستهدف الثغرة الأمنية خلال الـ 24 ساعة الماضية.

والجدير بالذكر أن هذه ليست المرة الأولى التي يواجه فيها البرنامج المساعد تحديات أمنية. وفي يوليو 2023، نجح مجرمو الإنترنت في استغلال نقطة ضعف أخرى في نفس المكون الإضافي، والتي تم تحديدها باسم CVE-2023-3460. تم استغلال هذه الثغرة الأمنية، التي تحمل أيضًا درجة CVSS 9.8، بشكل نشط من قبل جهات التهديد لإنشاء مستخدمين إداريين غير مصرح لهم والسيطرة على مواقع الويب الضعيفة.

غالبًا ما تستهدف مجموعات مجرمي الإنترنت WordPress

شهدت إحدى الحملات الأخيرة زيادة ملحوظة حيث يتم استغلال مواقع WordPress المخترقة لتقديم أدوات تجفيف العملات المشفرة مثل Angel Drainer مباشرةً أو إعادة توجيه الزائرين إلى مواقع التصيد الاحتيالي Web3 التي تحتوي على أدوات تجفيف.

تستخدم هذه الهجمات استراتيجيات التصيد الاحتيالي والحقن الضار للاستفادة من اعتماد نظام Web3 البيئي على تفاعلات المحفظة المباشرة، مما يشكل تهديدًا كبيرًا لكل من مالكي مواقع الويب وأمن أصول المستخدم.

يتبع هذا الاتجاه تحديد مبادرة جديدة للاستنزاف كخدمة (DaaS) تُعرف باسم CG (CryptoGrab). تدير CG برنامجًا تابعًا قويًا يضم أكثر من 10000 عضو، يشمل متحدثين بالروسية والإنجليزية والصينية. ومن الجدير بالذكر أن قناة Telegram التي تسيطر عليها جهات التهديد توجه المهاجمين المحتملين إلى روبوت Telegram، مما يسهل تنفيذ عمليات الاحتيال دون تبعيات خارجية.

تتضمن إمكانيات هذا الروبوت الحصول على مجال مجانًا، وتكرار قالب موجود للمجال الجديد، وتحديد عنوان المحفظة للأموال المعاد توجيهها، وتوفير حماية Cloudflare للمجال المنشأ حديثًا.

علاوة على ذلك، تستخدم مجموعة التهديد اثنين من روبوتات Telegram المخصصة، وهما SiteCloner وCloudflarePage. يقوم SiteCloner بتكرار مواقع الويب الشرعية الموجودة، بينما يضيف CloudflarePage حماية Cloudflare. يتم بعد ذلك نشر هذه الصفحات المستنسخة بشكل أساسي من خلال حسابات X (Twitter سابقًا) المخترقة.