آسیب پذیری افزونه وردپرس CVE-2024-1071
یک آسیبپذیری امنیتی نگرانکننده در افزونه پرکاربرد وردپرس که به نام Ultimate Member شناخته میشود، با بیش از 200000 نصب فعال آشکار شده است. این نقص که بهعنوان CVE-2024-1071 شناسایی شد و امتیاز CVSS 9.8 از 10 را به آن اختصاص داد، توسط محقق امنیتی کریستیان سویرز آشکار شد.
طبق توصیهای که برای کاربران صادر شده است، این آسیبپذیری در نسخههای 2.1.3 تا 2.8.2 این افزونه وجود دارد و از طریق پارامتر «مرتبسازی» با SQL Injection مرتبط است. این ضعف ناشی از دوری ناکافی از چارچوب ارائه شده توسط کاربر و عدم آمادگی کافی در مورد پرس و جوی SQL موجود است. در نتیجه، عوامل مخرب بدون احراز هویت میتوانند از این نقص برای تزریق پرسوجوهای SQL تکمیلی به موارد قبلی استفاده کنند که منجر به استخراج دادههای حساس از پایگاه داده میشود.
مهم است که تأکید کنیم این مشکل منحصراً بر کاربرانی تأثیر میگذارد که گزینه «فعال کردن جدول سفارشی برای usermeta» را در تنظیمات افزونه فعال کردهاند.
کاربران باید در اسرع وقت پلاگین های خود را به روز کنند
پس از افشای مسئولانه آسیب پذیری حیاتی، توسعه دهندگان افزونه به سرعت با انتشار نسخه 2.8.3 در 19 فوریه این مشکل را برطرف کردند.
اکیداً به کاربران توصیه می شود برای به حداقل رساندن تهدیدات احتمالی، به روز رسانی افزونه را به آخرین نسخه تسریع کنند. این توصیه بسیار مهم است زیرا Wordfence قبلاً حمله ای را که آسیب پذیری را هدف قرار می دهد در 24 ساعت گذشته خنثی کرده است.
قابل ذکر است، این اولین بار نیست که این افزونه با چالش های امنیتی مواجه می شود. در ژوئیه 2023، مجرمان سایبری با موفقیت از ضعف دیگری در همان افزونه به نام CVE-2023-3460 استفاده کردند. این آسیبپذیری، همچنین دارای امتیاز CVSS 9.8 است، به طور فعال توسط عوامل تهدید برای ایجاد کاربران مدیریت غیرمجاز و کنترل وبسایتهای آسیبپذیر مورد سوء استفاده قرار گرفت.
گروه های مجرمان سایبری اغلب وردپرس را هدف قرار می دهند
یک کمپین اخیر افزایش قابل توجهی داشته است که در آن سایتهای وردپرس در معرض خطر برای معرفی مستقیم تخلیهکنندههای رمزنگاری مانند Angel Drainer یا هدایت بازدیدکنندگان به سایتهای فیشینگ Web3 دارای تخلیهکنندهها مورد سوء استفاده قرار میگیرند.
این حملات از استراتژیهای فیشینگ و تزریقهای مخرب استفاده میکنند تا از اتکای اکوسیستم Web3 به تعاملات مستقیم کیف پول استفاده کنند، که هم برای صاحبان وبسایت و هم برای امنیت داراییهای کاربران تهدیدی قابلتوجه است.
این روند به دنبال شناسایی یک ابتکار جدید drainer-as-a-service (DaaS) معروف به CG (CryptoGrab) است. CG یک برنامه وابسته قوی با بیش از 10000 عضو اجرا می کند که شامل روسی، انگلیسی و چینی زبانان است. قابل ذکر است، یک کانال تلگرامی که توسط عوامل تهدید کنترل می شود، مهاجمان بالقوه را به یک ربات تلگرام هدایت می کند و اجرای عملیات کلاهبرداری بدون وابستگی خارجی را تسهیل می کند.
از قابلیتهای این ربات میتوان به دریافت دامنه رایگان، کپی کردن قالب موجود برای دامنه جدید، تعیین آدرس کیف پول برای وجوه هدایتشده و ارائه حفاظت Cloudflare برای دامنه جدید ایجاد شده اشاره کرد.
علاوه بر این، گروه تهدید از دو ربات تلگرام سفارشی به نامهای SiteCloner و CloudflarePage استفاده میکند. SiteCloner وب سایت های قانونی موجود را کپی می کند، در حالی که CloudflarePage محافظت از Cloudflare را اضافه می کند. سپس این صفحات شبیهسازی شده عمدتاً از طریق حسابهای در معرض خطر X (توئیتر سابق) منتشر میشوند.