CVE-2024-1071 WordPress Plugin Vulnerability
Isang nakababahalang kahinaan sa seguridad ang nalantad sa malawakang ginagamit na WordPress plugin na kilala bilang Ultimate Member, na ipinagmamalaki ang mahigit 200,000 aktibong pag-install. Ang kapintasang ito, na kinilala bilang CVE-2024-1071 at nagtalaga ng marka ng CVSS na 9.8 sa 10, ay inihayag ng mananaliksik ng seguridad na si Christiaan Swiers.
Ayon sa isang advisory na ibinigay sa mga user, ang kahinaan ay nasa bersyon 2.1.3 hanggang 2.8.2 ng plugin at nauugnay sa SQL Injection sa pamamagitan ng parameter na 'pag-uuri'. Ang kahinaang ito ay nagmumula sa hindi sapat na paglayo sa balangkas na ibinigay ng user at kakulangan ng sapat na paghahanda sa umiiral na SQL query. Dahil dito, maaaring samantalahin ng mga malisyosong aktor na walang authentication ang kapintasan na ito para magpasok ng mga karagdagang query sa SQL sa mga dati nang umiiral, na humahantong sa pagkuha ng sensitibong data mula sa database.
Mahalagang i-highlight na ang isyung ito ay eksklusibong nakakaapekto sa mga user na pinagana ang pagpipiliang 'Paganahin ang custom na talahanayan para sa usermeta' sa mga setting ng plugin.
Dapat I-update ng Mga User ang Kanilang Mga Plugin sa lalong madaling panahon
Kasunod ng responsableng pagsisiwalat ng kritikal na kahinaan, agad na tinugunan ng mga developer ng plugin ang isyu sa pamamagitan ng paglabas ng bersyon 2.8.3 noong Pebrero 19.
Ang mga gumagamit ay mahigpit na pinapayuhan na pabilisin ang pag-update ng plugin sa pinakabagong bersyon upang mabawasan ang mga potensyal na banta. Ang rekomendasyong ito ay partikular na mahalaga dahil napigilan na ng Wordfence ang isang pag-atake na nagta-target sa kahinaan sa loob ng huling 24 na oras.
Kapansin-pansin, hindi ito ang unang pagkakataon na nahaharap ang plugin sa mga hamon sa seguridad. Noong Hulyo 2023, matagumpay na sinamantala ng mga cybercriminal ang isa pang kahinaan sa parehong plugin, na kinilala bilang CVE-2023-3460. Ang kahinaan na ito, na nagtataglay din ng marka ng CVSS na 9.8, ay aktibong inabuso ng mga aktor ng pagbabanta upang magtatag ng mga hindi awtorisadong user ng admin at makakuha ng kontrol sa mga mahihinang website.
Ang mga Cybercriminals Group ay Kadalasang tinatarget ang WordPress
Ang isang kamakailang kampanya ay nakakita ng isang kapansin-pansing pagtaas kung saan ang mga nakompromisong WordPress site ay pinagsamantalahan upang direktang ipakilala ang mga crypto drainer tulad ng Angel Drainer o i-redirect ang mga bisita sa Web3 phishing site na nagtatampok ng mga drainer.
Gumagamit ang mga pag-atakeng ito ng mga diskarte sa phishing at mga nakakahamak na iniksyon upang samantalahin ang pagtitiwala ng Web3 ecosystem sa mga direktang pakikipag-ugnayan sa wallet, na naglalagay ng malaking banta sa parehong mga may-ari ng website at sa seguridad ng mga asset ng user.
Ang trend na ito ay sumusunod sa pagkakakilanlan ng isang bagong drainer-as-a-service (DaaS) na inisyatiba na kilala bilang CG (CryptoGrab). Ang CG ay nagpapatakbo ng isang matatag na programang kaakibat na may higit sa 10,000 mga miyembro, na sumasaklaw sa mga nagsasalita ng Russian, English, at Chinese. Kapansin-pansin, ang isang Telegram channel na kinokontrol ng mga aktor ng pagbabanta ay gumagabay sa mga potensyal na umaatake sa isang Telegram bot, na nagpapadali sa pagpapatupad ng mga operasyon ng panloloko nang walang mga panlabas na dependency.
Kasama sa mga kakayahan ng bot na ito ang pagkuha ng domain nang libre, pagdoble ng kasalukuyang template para sa bagong domain, pagtukoy sa address ng wallet para sa mga na-redirect na pondo, at pagbibigay ng proteksyon sa Cloudflare para sa bagong likhang domain.
Higit pa rito, ang grupo ng pagbabanta ay gumagamit ng dalawang custom na Telegram bot na pinangalanang SiteCloner at CloudflarePage. Ang SiteCloner ay duplicate ang mga kasalukuyang lehitimong website, habang ang CloudflarePage ay nagdaragdag ng proteksyon sa Cloudflare. Ang mga naka-clone na pahinang ito ay ipinapalaganap pangunahin sa pamamagitan ng mga nakompromisong X (dating Twitter) na mga account.