CVE-2024-1071 WordPressi pistikprogrammi haavatavus

Laialdaselt kasutatavas WordPressi pistikprogrammis, mida nimetatakse Ultimate Memberiks ja millel on üle 200 000 aktiivse installi, on paljastatud murettekitav turvahaavatavus. Selle vea, mis tuvastati kui CVE-2024-1071 ja millele määrati CVSS-i skoor 9,8 10-st, tõi päevavalgele turvateadlane Christiaan Swiers.

Vastavalt kasutajatele antud soovitusele on haavatavus pistikprogrammi versioonides 2.1.3–2.8.2 ja see on seotud SQL Injectioniga parameetri „sorting” kaudu. See nõrkus tuleneb ebapiisavast eemaldumisest kasutaja pakutavast raamistikust ja piisava ettevalmistuse puudumisest olemasoleva SQL-päringu jaoks. Järelikult võivad ilma autentimiseta pahatahtlikud toimijad seda viga ära kasutada, et sisestada täiendavaid SQL-päringuid juba olemasolevatesse päringutesse, mille tulemuseks on tundlike andmete väljavõtmine andmebaasist.

Oluline on rõhutada, et see probleem mõjutab ainult kasutajaid, kes on lubanud pistikprogrammi seadetes valiku „Luba kohandatud tabel kasutajameta jaoks”.

Kasutajad peaksid värskendama oma pistikprogramme niipea kui võimalik

Pärast kriitilise haavatavuse vastutustundlikku avalikustamist lahendasid pistikprogrammi arendajad selle probleemi kiiresti, avaldades 19. veebruaril versiooni 2.8.3.

Võimalike ohtude minimeerimiseks soovitatakse kasutajatel tungivalt kiirendada pistikprogrammi värskendamist uusimale versioonile. See soovitus on eriti oluline, kuna Wordfence on juba viimase 24 tunni jooksul nurjanud haavatavuse rünnaku.

Märkimisväärne on see, et see pole esimene kord, kui pistikprogramm puutub kokku turvaprobleemidega. 2023. aasta juulis kasutasid küberkurjategijad edukalt ära sama pistikprogrammi teist nõrkust, mille nimi on CVE-2023-3460. Seda haavatavust, mille CVSS-i skoor on 9,8, kuritarvitasid ohustajad aktiivselt, et luua volitamata administraatorkasutajaid ja saada kontroll haavatavate veebisaitide üle.

Küberkurjategijate rühmad sihivad sageli WordPressi

Hiljutine kampaania on märgatavalt sagenenud, kui ohustatud WordPressi saite kasutatakse ära krüptoeemaldajate, nagu Angel Drainer, otse tutvustamiseks või külastajate ümbersuunamiseks äravoolujagajaid sisaldavatele Web3 andmepüügisaitidele.

Need rünnakud kasutavad andmepüügistrateegiaid ja pahatahtlikke süstimisi, et kasutada ära Web3 ökosüsteemi sõltuvust otsesest rahakoti interaktsioonist, mis kujutab endast olulist ohtu nii veebisaitide omanikele kui ka kasutajate varade turvalisusele.

See suundumus järgneb uue äravoolu-teenusena (DaaS) algatuse tuvastamisele, mida tuntakse CG (CryptoGrab) nime all. CG haldab tugevat sidusprogrammi, millel on üle 10 000 liikme ja mis hõlmab vene, inglise ja hiina keelt kõnelevaid inimesi. Eelkõige juhatab ohus osalejate kontrollitav Telegrami kanal potentsiaalsed ründajad Telegrami roboti juurde, hõlbustades pettuste sooritamist ilma väliste sõltuvusteta.

Selle roboti võimaluste hulka kuulub tasuta domeeni hankimine, uue domeeni jaoks olemasoleva malli dubleerimine, rahakoti aadressi määramine ümbersuunatud vahendite jaoks ja Cloudflare'i kaitse pakkumine vastloodud domeenile.

Lisaks kasutab ohurühm kahte kohandatud Telegrami robotit nimedega SiteCloner ja CloudflarePage. SiteCloner dubleerib olemasolevaid seaduslikke veebisaite, samas kui CloudflarePage lisab Cloudflare'i kaitse. Neid kloonitud lehti levitatakse seejärel peamiselt ohustatud X (endise Twitteri) kontode kaudu.