Ευπάθεια προσθήκης WordPress CVE-2024-1071
Μια ανησυχητική ευπάθεια ασφαλείας έχει αποκαλυφθεί στην ευρέως χρησιμοποιούμενη προσθήκη WordPress, γνωστή ως Ultimate Member, η οποία διαθέτει πάνω από 200.000 ενεργές εγκαταστάσεις. Αυτό το ελάττωμα, που αναγνωρίστηκε ως CVE-2024-1071 και έλαβε βαθμολογία CVSS 9,8 στα 10, έφερε στο φως ο ερευνητής ασφαλείας Christiaan Swiers.
Σύμφωνα με μια συμβουλή που εκδόθηκε στους χρήστες, η ευπάθεια βρίσκεται στις εκδόσεις 2.1.3 έως 2.8.2 της προσθήκης και σχετίζεται με το SQL Injection μέσω της παραμέτρου «ταξινόμηση». Αυτή η αδυναμία οφείλεται στην ανεπαρκή απομάκρυνση από το πλαίσιο που παρέχεται από τον χρήστη και στην έλλειψη επαρκούς προετοιμασίας για το υπάρχον ερώτημα SQL. Κατά συνέπεια, κακόβουλοι φορείς χωρίς έλεγχο ταυτότητας θα μπορούσαν να εκμεταλλευτούν αυτό το ελάττωμα για να εισάγουν συμπληρωματικά ερωτήματα SQL σε προϋπάρχοντα, οδηγώντας στην εξαγωγή ευαίσθητων δεδομένων από τη βάση δεδομένων.
Είναι σημαντικό να επισημάνουμε ότι αυτό το ζήτημα επηρεάζει αποκλειστικά τους χρήστες που έχουν ενεργοποιήσει την επιλογή «Ενεργοποίηση προσαρμοσμένου πίνακα για τα στοιχεία χρήστη» στις ρυθμίσεις της προσθήκης.
Οι χρήστες θα πρέπει να ενημερώσουν τις προσθήκες τους το συντομότερο δυνατό
Μετά την υπεύθυνη αποκάλυψη της κρίσιμης ευπάθειας, οι προγραμματιστές των προσθηκών αντιμετώπισαν αμέσως το ζήτημα κυκλοφορώντας την έκδοση 2.8.3 στις 19 Φεβρουαρίου.
Συνιστάται στους χρήστες να επισπεύσουν την ενημέρωση της προσθήκης στην πιο πρόσφατη έκδοση για να ελαχιστοποιήσουν πιθανές απειλές. Αυτή η σύσταση είναι ιδιαίτερα σημαντική καθώς το Wordfence έχει ήδη αποτρέψει μια επίθεση που στοχεύει την ευπάθεια τις τελευταίες 24 ώρες.
Αξίζει να σημειωθεί ότι αυτή δεν είναι η πρώτη φορά που το πρόσθετο αντιμετωπίζει προκλήσεις ασφαλείας. Τον Ιούλιο του 2023, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν επιτυχώς μια άλλη αδυναμία της ίδιας προσθήκης, που προσδιορίστηκε ως CVE-2023-3460. Αυτή η ευπάθεια, η οποία έχει επίσης βαθμολογία CVSS 9,8, έγινε ενεργή κατάχρηση από παράγοντες απειλών για τη δημιουργία μη εξουσιοδοτημένων διαχειριστών χρηστών και την απόκτηση ελέγχου ευάλωτων ιστότοπων.
Ομάδες κυβερνοεγκληματιών Συχνά στοχεύουν το WordPress
Μια πρόσφατη καμπάνια σημείωσε μια αξιοσημείωτη αύξηση όπου εκμεταλλεύονται παραβιασμένους ιστότοπους WordPress για την εισαγωγή προγραμμάτων αποστράγγισης κρυπτογράφησης όπως το Angel Drainer απευθείας ή για ανακατεύθυνση των επισκεπτών σε ιστότοπους ηλεκτρονικού "ψαρέματος" στο Web3 που διαθέτουν drainers.
Αυτές οι επιθέσεις χρησιμοποιούν στρατηγικές phishing και κακόβουλες ενέσεις για να επωφεληθούν από την εξάρτηση του οικοσυστήματος Web3 στις άμεσες αλληλεπιδράσεις με πορτοφόλια, αποτελώντας σημαντική απειλή τόσο για τους κατόχους ιστότοπων όσο και για την ασφάλεια των περιουσιακών στοιχείων των χρηστών.
Αυτή η τάση ακολουθεί τον προσδιορισμό μιας νέας πρωτοβουλίας drainer-as-a-service (DaaS) γνωστή ως CG (CryptoGrab). Η CG λειτουργεί ένα ισχυρό πρόγραμμα συνεργατών με περισσότερα από 10.000 μέλη, που περιλαμβάνει Ρωσικά, Αγγλικά και Κινέζικα ομιλητές. Συγκεκριμένα, ένα κανάλι Telegram που ελέγχεται από παράγοντες απειλών καθοδηγεί πιθανούς εισβολείς σε ένα bot Telegram, διευκολύνοντας την εκτέλεση πράξεων απάτης χωρίς εξωτερικές εξαρτήσεις.
Οι δυνατότητες αυτού του bot περιλαμβάνουν τη δωρεάν απόκτηση ενός τομέα, την αντιγραφή ενός υπάρχοντος προτύπου για τον νέο τομέα, τον καθορισμό της διεύθυνσης πορτοφολιού για τα ανακατευθυνόμενα κεφάλαια και την παροχή προστασίας Cloudflare για τον νεοδημιουργημένο τομέα.
Επιπλέον, η ομάδα απειλών χρησιμοποιεί δύο προσαρμοσμένα ρομπότ Telegram που ονομάζονται SiteCloner και CloudflarePage. Το SiteCloner αντιγράφει υπάρχοντες νόμιμους ιστότοπους, ενώ το CloudflarePage προσθέτει προστασία Cloudflare. Αυτές οι κλωνοποιημένες σελίδες διαδίδονται στη συνέχεια κυρίως μέσω παραβιασμένων λογαριασμών X (πρώην Twitter).