CVE-2024-1071 WordPress Plugin-sårbarhed

En bekymrende sikkerhedssårbarhed er blevet afsløret i det meget brugte WordPress-plugin kendt som Ultimate Member, der kan prale af over 200.000 aktive installationer. Denne fejl, identificeret som CVE-2024-1071 og tildelt en CVSS-score på 9,8 ud af 10, blev fremlagt af sikkerhedsforsker Christiaan Swiers.

Ifølge en vejledning udstedt til brugere findes sårbarheden i version 2.1.3 til 2.8.2 af plugin'et og er forbundet med SQL Injection gennem parameteren 'sortering'. Denne svaghed stammer fra utilstrækkelig komme væk fra den brugerleverede ramme og mangel på tilstrækkelig forberedelse på den eksisterende SQL-forespørgsel. Som følge heraf kunne ondsindede aktører uden godkendelse udnytte denne fejl til at injicere supplerende SQL-forespørgsler i allerede eksisterende, hvilket fører til udtrækning af følsomme data fra databasen.

Det er vigtigt at fremhæve, at dette problem udelukkende påvirker brugere, der har aktiveret muligheden 'Aktiver tilpasset tabel for brugermeta' i plugin-indstillingerne.

Brugere bør opdatere deres plugins så hurtigt som muligt

Efter den ansvarlige afsløring af den kritiske sårbarhed, løste plugin-udviklerne omgående problemet ved at frigive version 2.8.3 den 19. februar.

Brugere rådes kraftigt til at fremskynde opdateringen af pluginnet til den nyeste version for at minimere potentielle trusler. Denne anbefaling er særlig vigtig, da Wordfence allerede har forpurret et angreb rettet mod sårbarheden inden for de sidste 24 timer.

Det er bemærkelsesværdigt, at dette ikke er første gang, pluginnet står over for sikkerhedsudfordringer. I juli 2023 udnyttede cyberkriminelle med succes en anden svaghed i det samme plugin, identificeret som CVE-2023-3460. Denne sårbarhed, der også har en CVSS-score på 9,8, blev aktivt misbrugt af trusselsaktører til at etablere uautoriserede administratorbrugere og få kontrol over sårbare websteder.

Grupper af cyberkriminelle målretter ofte mod WordPress

En nylig kampagne har set en bemærkelsesværdig stigning, hvor kompromitterede WordPress-websteder udnyttes til at introducere kryptodrænere som Angel Drainer direkte eller omdirigere besøgende til Web3-phishing-websteder med drainer.

Disse angreb anvender phishing-strategier og ondsindede injektioner for at drage fordel af Web3-økosystemets afhængighed af direkte tegnebogsinteraktioner, hvilket udgør en betydelig trussel mod både webstedsejere og sikkerheden for brugeraktiver.

Denne tendens følger identifikation af et nyt drainer-as-a-service (DaaS) initiativ kendt som CG (CryptoGrab). CG driver et robust affiliateprogram med over 10.000 medlemmer, der omfatter russisk-, engelsk- og kinesisktalende. Navnlig guider en Telegram-kanal styret af trusselsaktører potentielle angribere til en Telegram-bot, hvilket letter udførelsen af svindeloperationer uden eksterne afhængigheder.

Mulighederne for denne bot inkluderer at få et domæne gratis, duplikere en eksisterende skabelon til det nye domæne, angive tegnebogsadressen for omdirigerede midler og give Cloudflare-beskyttelse til det nyoprettede domæne.

Desuden beskæftiger trusselsgruppen to brugerdefinerede Telegram-bots ved navn SiteCloner og CloudflarePage. SiteCloner dublerer eksisterende legitime websteder, mens CloudflarePage tilføjer Cloudflare-beskyttelse. Disse klonede sider formidles derefter primært gennem kompromitterede X (tidligere Twitter) konti.