Chyba zabezpečení modulu WordPress CVE-2024-1071
V široce používaném pluginu WordPress známém jako Ultimate Member, který se může pochlubit více než 200 000 aktivními instalacemi, byla odhalena znepokojivá bezpečnostní chyba. Tato chyba, označená jako CVE-2024-1071 a přiřazená CVSS skóre 9,8 z 10, byla odhalena bezpečnostním výzkumníkem Christiaanem Swiersem.
Podle upozornění vydaného uživatelům se zranitelnost nachází ve verzích 2.1.3 až 2.8.2 pluginu a je spojena s SQL Injection prostřednictvím parametru 'sorting'. Tato slabina pramení z nedostatečného opuštění rámce dodaného uživatelem a nedostatečné přípravy na existující SQL dotaz. V důsledku toho by zákeřní aktéři bez ověření mohli tuto chybu zneužít k vložení doplňkových SQL dotazů do již existujících dotazů, což by vedlo k extrakci citlivých dat z databáze.
Je důležité zdůraznit, že tento problém se týká výhradně uživatelů, kteří v nastavení pluginu povolili možnost „Povolit vlastní tabulku pro uživatele metadat“.
Uživatelé by měli aktualizovat své pluginy co nejdříve
Po zodpovědném odhalení kritické zranitelnosti vývojáři pluginů problém okamžitě vyřešili vydáním verze 2.8.3 19. února.
Uživatelům důrazně doporučujeme, aby urychlili aktualizaci pluginu na nejnovější verzi, aby se minimalizovaly potenciální hrozby. Toto doporučení je obzvláště důležité, protože Wordfence již během posledních 24 hodin zmařil útok zaměřený na zranitelnost.
Je pozoruhodné, že to není poprvé, co plugin čelí bezpečnostním problémům. V červenci 2023 kyberzločinci úspěšně využili další slabinu stejného pluginu, označenou jako CVE-2023-3460. Tato zranitelnost, rovněž nesoucí CVSS skóre 9,8, byla aktivně zneužívána aktéry hrozeb k vytvoření neoprávněných administrátorů a získání kontroly nad zranitelnými webovými stránkami.
Skupiny kyberzločinců se často zaměřují na WordPress
Nedávná kampaň zaznamenala pozoruhodný nárůst, kdy jsou kompromitované weby WordPress využívány k přímému zavedení kryptografických odvodňovačů, jako je Angel Drainer, nebo k přesměrování návštěvníků na phishingové weby Web3 s odvodňovacími programy.
Tyto útoky využívají phishingové strategie a škodlivé injekce, aby využily toho, že ekosystém Web3 spoléhá na přímé interakce s peněženkou, což představuje významnou hrozbu jak pro vlastníky webových stránek, tak pro bezpečnost uživatelských aktiv.
Tento trend následuje po identifikaci nové iniciativy typu drainer-as-a-service (DaaS) známé jako CG (CryptoGrab). CG provozuje robustní affiliate program s více než 10 000 členy, který zahrnuje rusky, anglicky a čínsky mluvící osoby. Je pozoruhodné, že kanál telegramu ovládaný aktéry hrozeb navádí potenciální útočníky k robotovi Telegramu, což usnadňuje provádění podvodných operací bez externích závislostí.
Mezi schopnosti tohoto bota patří získání domény zdarma, duplikování existující šablony pro novou doménu, zadání adresy peněženky pro přesměrované prostředky a poskytování ochrany Cloudflare pro nově vytvořenou doménu.
Skupina hrozeb navíc využívá dva vlastní telegramové roboty s názvem SiteCloner a CloudflarePage. SiteCloner duplikuje existující legitimní webové stránky, zatímco CloudflarePage přidává ochranu Cloudflare. Tyto naklonované stránky jsou pak šířeny především prostřednictvím kompromitovaných X (dříve Twitter) účtů.