CVE-2024-1071 Уязвимост на приставката за WordPress

Притеснителна уязвимост в сигурността беше разкрита в широко използвания WordPress плъгин, известен като Ultimate Member, който може да се похвали с над 200 000 активни инсталации. Този пропуск, идентифициран като CVE-2024-1071 и получил CVSS резултат от 9,8 от 10, беше изваден наяве от изследователя по сигурността Кристиан Суиърс.

Според съобщение, издадено на потребителите, уязвимостта се намира във версии 2.1.3 до 2.8.2 на плъгина и е свързана с SQL инжектиране чрез параметъра „сортиране“. Тази слабост произтича от неадекватното излизане от рамката, предоставена от потребителя, и липсата на достатъчна подготовка на съществуващата SQL заявка. Следователно злонамерени участници без удостоверяване биха могли да използват този пропуск, за да инжектират допълнителни SQL заявки в вече съществуващи, което води до извличане на чувствителни данни от базата данни.

Важно е да се подчертае, че този проблем засяга изключително потребители, които са активирали опцията „Активиране на персонализирана таблица за usermeta“ в настройките на приставката.

Потребителите трябва да актуализират своите добавки възможно най-скоро

След отговорното разкриване на критичната уязвимост, разработчиците на приставката незабавно се заеха с проблема, като пуснаха версия 2.8.3 на 19 февруари.

Силно се препоръчва на потребителите да ускорят актуализацията на приставката до най-новата версия, за да минимизират потенциалните заплахи. Тази препоръка е особено важна, тъй като Wordfence вече е осуетил атака, насочена към уязвимостта през последните 24 часа.

Трябва да се отбележи, че това не е първият път, когато плъгинът е изправен пред предизвикателства за сигурността. През юли 2023 г. киберпрестъпниците успешно се възползваха от друга слабост в същия плъгин, идентифициран като CVE-2023-3460. Тази уязвимост, също носеща CVSS резултат от 9,8, беше активно злоупотребявана от заплахи, за да установят неоторизирани администраторски потребители и да получат контрол над уязвими уебсайтове.

Групите на киберпрестъпниците често са насочени към WordPress

Скорошна кампания отбеляза значително увеличение, когато компрометирани WordPress сайтове се експлоатират за въвеждане на крипто дрейнери като Angel Drainer директно или пренасочване на посетителите към Web3 фишинг сайтове, включващи дрейнери.

Тези атаки използват фишинг стратегии и злонамерени инжекции, за да се възползват от зависимостта на Web3 екосистемата от директни взаимодействия с портфейла, което представлява значителна заплаха както за собствениците на уебсайтове, така и за сигурността на потребителските активи.

Тази тенденция следва идентифицирането на нова инициатива за източване като услуга (DaaS), известна като CG (CryptoGrab). CG управлява стабилна партньорска програма с над 10 000 членове, включваща руски, английски и китайски говорещи. По-специално, канал на Telegram, контролиран от участници в заплаха, насочва потенциалните нападатели към бот на Telegram, улеснявайки изпълнението на операции за измама без външни зависимости.

Възможностите на този бот включват безплатно получаване на домейн, дублиране на съществуващ шаблон за новия домейн, посочване на адреса на портфейла за пренасочени средства и осигуряване на Cloudflare защита за новосъздадения домейн.

Освен това групата за заплахи използва два персонализирани бота на Telegram, наречени SiteCloner и CloudflarePage. SiteCloner дублира съществуващи легитимни уебсайтове, докато CloudflarePage добавя Cloudflare защита. След това тези клонирани страници се разпространяват предимно чрез компрометирани X (бивш Twitter) акаунти.