CVE-2024-1071 Уразливість плагіна WordPress
У широко використовуваному плагіні WordPress, відомому як Ultimate Member, було виявлено тривожну вразливість безпеки, яка може похвалитися понад 200 000 активних установок. Цей недолік, ідентифікований як CVE-2024-1071 і отримав оцінку CVSS 9,8 з 10, виявив дослідник безпеки Крістіан Свіерс.
Відповідно до попередження, виданого користувачам, уразливість міститься у версіях плагіна від 2.1.3 до 2.8.2 і пов’язана з SQL-ін’єкцією через параметр «сортування». Ця слабкість пов’язана з неадекватним відходом від рамки, наданої користувачем, і недостатньою підготовкою існуючого SQL-запиту. Отже, зловмисники без автентифікації можуть скористатися цією вадою, щоб вставити додаткові запити SQL у вже існуючі, що призведе до вилучення конфіденційних даних із бази даних.
Важливо підкреслити, що ця проблема стосується виключно користувачів, які в налаштуваннях плагіна ввімкнули опцію «Увімкнути спеціальну таблицю для usermeta».
Користувачі повинні оновити свої плагіни якомога швидше
Після відповідального розкриття критичної вразливості розробники плагіна негайно усунули проблему, випустивши версію 2.8.3 19 лютого.
Користувачам наполегливо рекомендується прискорити оновлення плагіна до останньої версії, щоб мінімізувати потенційні загрози. Ця рекомендація особливо важлива, оскільки Wordfence вже перешкоджав атаці, спрямованій на вразливість протягом останніх 24 годин.
Примітно, що це не перший раз, коли плагін стикається з проблемами безпеки. У липні 2023 року кіберзлочинці успішно скористалися іншим недоліком того самого плагіна, позначеним як CVE-2023-3460. Цю вразливість, яка також має оцінку CVSS 9,8, активно зловживали зловмисники, щоб створити неавторизованих користувачів адміністратора та отримати контроль над уразливими веб-сайтами.
Групи кіберзлочинців часто націлені на WordPress
Під час нещодавньої кампанії помітно почастішали випадки, коли скомпрометовані сайти WordPress використовують для безпосереднього впровадження крипто-дренерів, таких як Angel Drainer, або перенаправлення відвідувачів на фішингові сайти Web3 із дренажами.
Ці атаки використовують стратегії фішингу та зловмисні ін’єкції, щоб скористатися перевагами залежності екосистеми Web3 від прямих взаємодій гаманців, створюючи значну загрозу як для власників веб-сайтів, так і для безпеки активів користувачів.
Ця тенденція послідувала за ідентифікацією нової ініціативи drainer-as-a-service (DaaS), відомої як CG (CryptoGrab). CG керує надійною партнерською програмою з понад 10 000 учасників, що охоплює російськомовних, англомовних та китайських. Примітно, що канал Telegram, який контролюється зловмисниками, спрямовує потенційних зловмисників до бота Telegram, полегшуючи виконання шахрайських операцій без зовнішніх залежностей.
Можливості цього бота включають безкоштовне отримання домену, дублювання існуючого шаблону для нового домену, вказівку адреси гаманця для перенаправлених коштів і забезпечення захисту Cloudflare для новоствореного домену.
Крім того, група загроз використовує двох спеціальних ботів Telegram під назвою SiteCloner і CloudflarePage. SiteCloner дублює існуючі законні веб-сайти, а CloudflarePage додає захист Cloudflare. Потім ці клоновані сторінки поширюються в основному через скомпрометовані облікові записи X (раніше Twitter).