CVE-2024-1071 Ranljivost vtičnika WordPress
V zelo razširjenem vtičniku WordPress, znanem kot Ultimate Member, ki se ponaša z več kot 200.000 aktivnimi namestitvami, je bila razkrita zaskrbljujoča varnostna ranljivost. To napako, identificirano kot CVE-2024-1071 in ocenjeno z oceno CVSS 9,8 od 10, je razkril varnostni raziskovalec Christiaan Swiers.
Glede na obvestilo, izdano uporabnikom, se ranljivost nahaja v različicah vtičnika od 2.1.3 do 2.8.2 in je povezana z vbrizgavanjem SQL prek parametra 'razvrščanje'. Ta slabost izvira iz neustreznega odmika od ogrodja, ki ga zagotovi uporabnik, in pomanjkanja zadostne priprave na obstoječo poizvedbo SQL. Posledično lahko zlonamerni akterji brez preverjanja pristnosti izkoristijo to napako za vstavljanje dodatnih poizvedb SQL v že obstoječe, kar vodi do ekstrakcije občutljivih podatkov iz baze podatkov.
Pomembno je poudariti, da ta težava vpliva izključno na uporabnike, ki so v nastavitvah vtičnika omogočili možnost »Omogoči tabelo po meri za uporabniško meta«.
Uporabniki naj čim prej posodobijo svoje vtičnike
Po odgovornem razkritju kritične ranljivosti so razvijalci vtičnikov nemudoma odpravili težavo z izdajo različice 2.8.3 19. februarja.
Uporabnikom toplo priporočamo, da pospešijo posodobitev vtičnika na najnovejšo različico, da zmanjšajo morebitne grožnje. To priporočilo je še posebej pomembno, saj je Wordfence v zadnjih 24 urah že preprečil napad, usmerjen na ranljivost.
Predvsem to ni prvič, da se je vtičnik soočil z varnostnimi izzivi. Julija 2023 so kiberkriminalci uspešno izkoristili še eno slabost v istem vtičniku, označeno kot CVE-2023-3460. To ranljivost, ki ima tudi oceno CVSS 9,8, so akterji groženj aktivno zlorabljali, da bi vzpostavili nepooblaščene skrbniške uporabnike in pridobili nadzor nad ranljivimi spletnimi mesti.
Skupine kibernetskih kriminalcev pogosto ciljajo na WordPress
Nedavna kampanja je opazila opazen porast, kjer se ogrožena spletna mesta WordPress izkoriščajo za neposredno uvedbo kripto izčrpavalcev, kot je Angel Drainer, ali preusmerjanje obiskovalcev na spletna mesta z lažnim predstavljanjem Web3, ki vsebujejo izčrpovalnike.
Ti napadi uporabljajo strategije lažnega predstavljanja in zlonamerne injekcije, da bi izkoristili zanašanje ekosistema Web3 na neposredne interakcije z denarnico, kar predstavlja veliko grožnjo lastnikom spletnih mest in varnosti uporabniških sredstev.
Ta trend sledi identifikaciji nove pobude drainer-as-a-service (DaaS), znane kot CG (CryptoGrab). CG upravlja močan pridruženi program z več kot 10.000 člani, ki vključuje rusko, angleško in kitajsko govoreče. Predvsem kanal Telegram, ki ga nadzirajo akterji groženj, vodi potencialne napadalce do robota Telegram, kar olajša izvajanje operacij goljufije brez zunanjih odvisnosti.
Zmožnosti tega bota vključujejo brezplačno pridobitev domene, podvajanje obstoječe predloge za novo domeno, določanje naslova denarnice za preusmerjena sredstva in zagotavljanje zaščite Cloudflare za novo ustvarjeno domeno.
Poleg tega skupina groženj uporablja dva telegramova robota po meri, imenovana SiteCloner in CloudflarePage. SiteCloner podvoji obstoječa zakonita spletna mesta, medtem ko CloudflarePage doda zaščito Cloudflare. Te klonirane strani se nato razširjajo predvsem prek ogroženih računov X (prej Twitter).