Vulnerabilitatea pluginului WordPress CVE-2024-1071

O vulnerabilitate îngrijorătoare de securitate a fost expusă în plugin-ul WordPress utilizat pe scară largă, cunoscut sub numele de Ultimate Member, care se mândrește cu peste 200.000 de instalări active. Acest defect, identificat ca CVE-2024-1071 și căruia i s-a atribuit un scor CVSS de 9,8 din 10, a fost scos la lumină de cercetătorul de securitate Christiaan Swiers.

Potrivit unui aviz emis utilizatorilor, vulnerabilitatea rezidă în versiunile 2.1.3 până la 2.8.2 ale pluginului și este asociată cu SQL Injection prin parametrul „sortare”. Această slăbiciune provine din îndepărtarea inadecvată de cadrul furnizat de utilizator și din lipsa unei pregătiri suficiente pentru interogarea SQL existentă. În consecință, actorii rău intenționați fără autentificare ar putea exploata acest defect pentru a injecta interogări SQL suplimentare în cele preexistente, ceea ce duce la extragerea de date sensibile din baza de date.

Este important de subliniat faptul că această problemă afectează exclusiv utilizatorii care au activat opțiunea „Activați tabelul personalizat pentru usermeta” în setările pluginului.

Utilizatorii ar trebui să își actualizeze pluginurile cât mai curând posibil

În urma dezvăluirii responsabile a vulnerabilității critice, dezvoltatorii de plugin-uri au abordat cu promptitudine problema lansând versiunea 2.8.3 pe 19 februarie.

Utilizatorii sunt sfătuiți să accelereze actualizarea pluginului la cea mai recentă versiune pentru a minimiza potențialele amenințări. Această recomandare este deosebit de crucială, deoarece Wordfence a dejucat deja un atac care vizează vulnerabilitatea în ultimele 24 de ore.

În special, aceasta nu este prima dată când pluginul se confruntă cu provocări de securitate. În iulie 2023, infractorii cibernetici au exploatat cu succes o altă slăbiciune a aceluiași plugin, identificat ca CVE-2023-3460. Această vulnerabilitate, având, de asemenea, un scor CVSS de 9,8, a fost abuzată în mod activ de către actorii amenințărilor pentru a stabili utilizatori admin neautorizați și pentru a obține controlul site-urilor web vulnerabile.

Grupurile de criminali cibernetici vizează adesea WordPress

O campanie recentă a înregistrat o creștere notabilă în cazul în care site-urile WordPress compromise sunt exploatate pentru a introduce în mod direct drenoare cripto, cum ar fi Angel Drainer, sau pentru a redirecționa vizitatorii către site-uri de phishing Web3 cu drenoare.

Aceste atacuri folosesc strategii de phishing și injecții rău intenționate pentru a profita de dependența ecosistemului Web3 de interacțiunile directe cu portofel, reprezentând o amenințare semnificativă atât pentru proprietarii de site-uri web, cât și pentru securitatea activelor utilizatorilor.

Această tendință urmează identificarea unei noi inițiative drainer-as-a-service (DaaS), cunoscută sub numele de CG (CryptoGrab). CG operează un program robust de afiliere cu peste 10.000 de membri, care cuprinde vorbitori de rusă, engleză și chineză. În special, un canal Telegram controlat de actori amenințări ghidează potențialii atacatori către un bot Telegram, facilitând executarea operațiunilor de fraudă fără dependențe externe.

Capacitățile acestui bot includ obținerea unui domeniu gratuit, duplicarea unui șablon existent pentru noul domeniu, specificarea adresei portofelului pentru fondurile redirecționate și furnizarea de protecție Cloudflare pentru domeniul nou creat.

În plus, grupul de amenințări folosește doi roboți Telegram personalizați, denumiți SiteCloner și CloudflarePage. SiteCloner dublează site-urile web legitime existente, în timp ce CloudflarePage adaugă protecție Cloudflare. Aceste pagini clonate sunt apoi diseminate în primul rând prin conturi X compromise (fostul Twitter).