CVE-2024-1071 Vulnerabilitat del connector de WordPress
S'ha exposat una preocupant vulnerabilitat de seguretat en el connector de WordPress àmpliament utilitzat conegut com a Ultimate Member, que compta amb més de 200.000 instal·lacions actives. Aquest defecte, identificat com CVE-2024-1071 i assignat una puntuació CVSS de 9,8 sobre 10, va ser posat de manifest per l'investigador de seguretat Christiaan Swiers.
Segons un avís emès als usuaris, la vulnerabilitat resideix en les versions 2.1.3 a 2.8.2 del connector i s'associa amb SQL Injection mitjançant el paràmetre 'sorting'. Aquesta debilitat prové d'una sortida inadequada del marc subministrat per l'usuari i d'una falta de preparació suficient per a la consulta SQL existent. En conseqüència, els actors maliciosos sense autenticació podrien aprofitar aquest defecte per injectar consultes SQL addicionals a les preexistents, donant lloc a l'extracció de dades sensibles de la base de dades.
És important destacar que aquest problema afecta exclusivament els usuaris que han activat l'opció "Activa la taula personalitzada per a usermeta" a la configuració del connector.
Els usuaris haurien d'actualitzar els seus connectors tan aviat com sigui possible
Després de la divulgació responsable de la vulnerabilitat crítica, els desenvolupadors del connector van abordar ràpidament el problema llançant la versió 2.8.3 el 19 de febrer.
Es recomana als usuaris que acceleren l'actualització del connector a la versió més recent per minimitzar les amenaces potencials. Aquesta recomanació és especialment crucial, ja que Wordfence ja ha frustrat un atac dirigit a la vulnerabilitat durant les últimes 24 hores.
Notablement, aquesta no és la primera vegada que el connector s'enfronta a reptes de seguretat. El juliol de 2023, els ciberdelinqüents van explotar amb èxit una altra debilitat del mateix connector, identificat com CVE-2023-3460. Aquesta vulnerabilitat, que també té una puntuació CVSS de 9,8, va ser abusada activament pels actors d'amenaces per establir usuaris administradors no autoritzats i obtenir el control dels llocs web vulnerables.
Els grups de ciberdelinqüents sovint es dirigeixen a WordPress
Una campanya recent ha vist un augment notable on s'aprofiten els llocs de WordPress compromesos per introduir drenadors criptogràfics com l'Angel Drainer directament o redirigir els visitants a llocs de pesca Web3 que inclouen drenadors.
Aquests atacs utilitzen estratègies de pesca i injeccions malicioses per aprofitar la dependència de l'ecosistema Web3 de les interaccions directes amb la cartera, cosa que suposa una amenaça important tant per als propietaris de llocs web com per a la seguretat dels actius dels usuaris.
Aquesta tendència segueix la identificació d'una nova iniciativa drainer-as-a-service (DaaS) coneguda com CG (CryptoGrab). CG gestiona un sòlid programa d'afiliats amb més de 10.000 membres, que inclou parlants de rus, anglès i xinès. En particular, un canal de Telegram controlat per actors d'amenaça guia els atacants potencials cap a un bot de Telegram, facilitant l'execució d'operacions de frau sense dependències externes.
Les capacitats d'aquest bot inclouen l'obtenció d'un domini gratuïtament, la duplicació d'una plantilla existent per al nou domini, l'especificació de l'adreça de la cartera per als fons redirigits i la protecció de Cloudflare per al domini recentment creat.
A més, el grup d'amenaces utilitza dos robots de Telegram personalitzats anomenats SiteCloner i CloudflarePage. SiteCloner duplica els llocs web legítims existents, mentre que CloudflarePage afegeix protecció a Cloudflare. Aquestes pàgines clonades es difonen principalment a través de comptes X compromesos (anteriorment Twitter).