CVE-2024-1071 WordPress-plugin-sårbarhet
En bekymringsfull sikkerhetssårbarhet har blitt avslørt i den mye brukte WordPress-pluginen kjent som Ultimate Member, med over 200 000 aktive installasjoner. Denne feilen, identifisert som CVE-2024-1071 og tildelt en CVSS-score på 9,8 av 10, ble avdekket av sikkerhetsforsker Christiaan Swiers.
I følge et råd utstedt til brukere, ligger sårbarheten i versjon 2.1.3 til 2.8.2 av plugin-modulen og er assosiert med SQL Injection gjennom "sorting"-parameteren. Denne svakheten stammer fra utilstrekkelig å komme vekk fra det brukerleverte rammeverket og mangel på tilstrekkelig forberedelse på den eksisterende SQL-spørringen. Følgelig kan ondsinnede aktører uten autentisering utnytte denne feilen til å injisere supplerende SQL-spørringer i allerede eksisterende, noe som fører til utvinning av sensitive data fra databasen.
Det er viktig å fremheve at dette problemet utelukkende påvirker brukere som har aktivert alternativet "Aktiver tilpasset tabell for brukermeta" i plugin-innstillingene.
Brukere bør oppdatere sine plugins så snart som mulig
Etter den ansvarlige avsløringen av den kritiske sårbarheten, løste plugin-utviklerne umiddelbart problemet ved å lansere versjon 2.8.3 19. februar.
Brukere anbefales på det sterkeste å fremskynde oppdateringen av plugin til den nyeste versjonen for å minimere potensielle trusler. Denne anbefalingen er spesielt viktig siden Wordfence allerede har hindret et angrep rettet mot sårbarheten i løpet av de siste 24 timene.
Spesielt er dette ikke første gang plugin-en har møtt sikkerhetsutfordringer. I juli 2023 utnyttet nettkriminelle en annen svakhet i samme plugin, identifisert som CVE-2023-3460. Denne sårbarheten, som også har en CVSS-score på 9,8, ble aktivt misbrukt av trusselaktører for å etablere uautoriserte administratorbrukere og få kontroll over sårbare nettsteder.
Nettkriminelle grupper retter seg ofte mot WordPress
En nylig kampanje har sett en bemerkelsesverdig økning der kompromitterte WordPress-nettsteder blir utnyttet til å introdusere krypto-drainerer som Angel Drainer direkte eller omdirigere besøkende til Web3-phishing-nettsteder med drainer.
Disse angrepene bruker phishing-strategier og ondsinnede injeksjoner for å dra nytte av Web3-økosystemets avhengighet av direkte lommebokinteraksjoner, og utgjør en betydelig trussel mot både nettstedeiere og sikkerheten til brukereiendeler.
Denne trenden følger identifiseringen av et nytt drainer-as-a-service (DaaS)-initiativ kjent som CG (CryptoGrab). CG driver et robust tilknyttet program med over 10 000 medlemmer, som omfatter russisk-, engelsk- og kinesisktalende. Spesielt guider en Telegram-kanal kontrollert av trusselaktører potensielle angripere til en Telegram-bot, noe som gjør det lettere å utføre svindeloperasjoner uten eksterne avhengigheter.
Mulighetene til denne boten inkluderer å skaffe et domene gratis, duplisere en eksisterende mal for det nye domenet, spesifisere lommebokadressen for omdirigerte midler og gi Cloudflare-beskyttelse for det nyopprettede domenet.
Videre bruker trusselgruppen to tilpassede Telegram-roboter kalt SiteCloner og CloudflarePage. SiteCloner dupliserer eksisterende legitime nettsteder, mens CloudflarePage legger til Cloudflare-beskyttelse. Disse klonede sidene spres først og fremst gjennom kompromitterte X-kontoer (tidligere Twitter).