CVE-2024-1071 ওয়ার্ডপ্রেস প্লাগইন দুর্বলতা
আল্টিমেট মেম্বার নামে পরিচিত বহুল ব্যবহৃত ওয়ার্ডপ্রেস প্লাগইনে একটি উদ্বেগজনক নিরাপত্তা দুর্বলতা উন্মোচিত হয়েছে, যা 200,000টিরও বেশি সক্রিয় ইনস্টলেশন নিয়ে গর্ব করে। এই ত্রুটি, CVE-2024-1071 হিসাবে চিহ্নিত এবং 10 এর মধ্যে 9.8 এর একটি CVSS স্কোর বরাদ্দ করেছে, নিরাপত্তা গবেষক ক্রিশ্চিয়ান সুইয়ার্স দ্বারা আলোকিত করা হয়েছে।
ব্যবহারকারীদের জন্য জারি করা একটি পরামর্শ অনুসারে, দুর্বলতা প্লাগইনটির 2.1.3 থেকে 2.8.2 সংস্করণে থাকে এবং এটি 'সর্টিং' প্যারামিটারের মাধ্যমে SQL ইনজেকশনের সাথে যুক্ত। এই দুর্বলতা ব্যবহারকারীর সরবরাহকৃত কাঠামো থেকে অপর্যাপ্ত হওয়া এবং বিদ্যমান SQL ক্যোয়ারীতে পর্যাপ্ত প্রস্তুতির অভাব থেকে উদ্ভূত হয়। ফলস্বরূপ, প্রমাণীকরণ ছাড়াই দূষিত অভিনেতারা এই ত্রুটিকে কাজে লাগিয়ে সম্পূরক এসকিউএল কোয়েরিগুলিকে পূর্ব-বিদ্যমানে ইনজেক্ট করতে পারে, যা ডাটাবেস থেকে সংবেদনশীল ডেটা নিষ্কাশনের দিকে পরিচালিত করে।
এটি হাইলাইট করা গুরুত্বপূর্ণ যে এই সমস্যাটি একচেটিয়াভাবে ব্যবহারকারীদের প্রভাবিত করে যারা প্লাগইন সেটিংসে 'ইউজারমেটার জন্য কাস্টম টেবিল সক্ষম করুন' বিকল্পটি সক্ষম করেছে৷
ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব তাদের প্লাগইনগুলি আপডেট করা উচিত
গুরুতর দুর্বলতার দায়িত্বশীল প্রকাশের পরে, প্লাগইন বিকাশকারীরা 19 ফেব্রুয়ারি সংস্করণ 2.8.3 প্রকাশের মাধ্যমে অবিলম্বে সমস্যাটির সমাধান করেছে।
ব্যবহারকারীদের দৃঢ়ভাবে সম্ভাব্য হুমকি কমাতে সর্বশেষ সংস্করণে প্লাগইনটির আপডেট ত্বরান্বিত করার পরামর্শ দেওয়া হচ্ছে। এই সুপারিশটি বিশেষভাবে গুরুত্বপূর্ণ কারণ Wordfence ইতিমধ্যে গত 24 ঘন্টার মধ্যে দুর্বলতা লক্ষ্য করে একটি আক্রমণকে ব্যর্থ করেছে৷
উল্লেখযোগ্যভাবে, এই প্রথমবার নয় যে প্লাগইনটি নিরাপত্তা চ্যালেঞ্জের সম্মুখীন হয়েছে৷ জুলাই 2023 সালে, সাইবার অপরাধীরা সফলভাবে একই প্লাগইনের আরেকটি দুর্বলতাকে কাজে লাগিয়েছে, CVE-2023-3460 হিসেবে চিহ্নিত। এই দুর্বলতা, 9.8 এর একটি CVSS স্কোরও বহন করে, অননুমোদিত অ্যাডমিন ব্যবহারকারীদের প্রতিষ্ঠা করতে এবং দুর্বল ওয়েবসাইটগুলির নিয়ন্ত্রণ পেতে হুমকি অভিনেতাদের দ্বারা সক্রিয়ভাবে অপব্যবহার করা হয়েছিল।
সাইবার ক্রিমিনাল গ্রুপগুলো প্রায়ই ওয়ার্ডপ্রেসকে টার্গেট করে
একটি সাম্প্রতিক প্রচারাভিযানে উল্লেখযোগ্য বৃদ্ধি দেখা গেছে যেখানে আপোসকৃত ওয়ার্ডপ্রেস সাইটগুলিকে অ্যাঞ্জেল ড্রেইনারের মতো ক্রিপ্টো ড্রেইনারগুলিকে প্রবর্তন করার জন্য ব্যবহার করা হয় বা ড্রেইনার সমন্বিত ওয়েব3 ফিশিং সাইটগুলিতে দর্শকদের পুনঃনির্দেশিত করা হয়৷
এই আক্রমণগুলি ওয়েব3 ইকোসিস্টেমের সরাসরি ওয়ালেট ইন্টারঅ্যাকশনের উপর নির্ভরশীলতার সুবিধা নিতে ফিশিং কৌশল এবং দূষিত ইনজেকশন নিযুক্ত করে, যা ওয়েবসাইটের মালিক এবং ব্যবহারকারীর সম্পদের নিরাপত্তা উভয়ের জন্যই একটি উল্লেখযোগ্য হুমকি তৈরি করে।
এই প্রবণতাটি CG (CryptoGrab) নামে পরিচিত একটি নতুন ড্রেনার-এ-সার্ভিস (DaaS) উদ্যোগের সনাক্তকরণ অনুসরণ করে। CG 10,000 টিরও বেশি সদস্যের সাথে একটি শক্তিশালী অ্যাফিলিয়েট প্রোগ্রাম পরিচালনা করে, যার মধ্যে রাশিয়ান, ইংরেজি এবং চীনা ভাষাভাষী রয়েছে। উল্লেখযোগ্যভাবে, হুমকি অভিনেতাদের দ্বারা নিয়ন্ত্রিত একটি টেলিগ্রাম চ্যানেল সম্ভাব্য আক্রমণকারীদের একটি টেলিগ্রাম বটের দিকে পরিচালিত করে, যা বহিরাগত নির্ভরতা ছাড়াই জালিয়াতি ক্রিয়াকলাপ সম্পাদন করতে সহায়তা করে।
এই বটের ক্ষমতাগুলির মধ্যে রয়েছে বিনামূল্যে একটি ডোমেন পাওয়া, নতুন ডোমেনের জন্য একটি বিদ্যমান টেমপ্লেট নকল করা, পুনঃনির্দেশিত তহবিলের জন্য ওয়ালেট ঠিকানা উল্লেখ করা এবং নতুন তৈরি ডোমেনের জন্য Cloudflare সুরক্ষা প্রদান করা।
উপরন্তু, হুমকি গোষ্ঠীটি SiteCloner এবং CloudflarePage নামে দুটি কাস্টম টেলিগ্রাম বট নিয়োগ করে। SiteCloner বিদ্যমান বৈধ ওয়েবসাইটগুলির নকল করে, যখন CloudflarePage Cloudflare সুরক্ষা যোগ করে। এই ক্লোন করা পৃষ্ঠাগুলি তখন প্রাথমিকভাবে আপস করা X (আগের টুইটার) অ্যাকাউন্টগুলির মাধ্যমে ছড়িয়ে দেওয়া হয়।