آسیب پذیری افزونه وردپرس CVE-2024-1071

یک آسیب‌پذیری امنیتی نگران‌کننده در افزونه پرکاربرد وردپرس که به نام Ultimate Member شناخته می‌شود، با بیش از 200000 نصب فعال آشکار شده است. این نقص که به‌عنوان CVE-2024-1071 شناسایی شد و امتیاز CVSS 9.8 از 10 را به آن اختصاص داد، توسط محقق امنیتی کریستیان سویرز آشکار شد.

طبق توصیه‌ای که برای کاربران صادر شده است، این آسیب‌پذیری در نسخه‌های 2.1.3 تا 2.8.2 این افزونه وجود دارد و از طریق پارامتر «مرتب‌سازی» با SQL Injection مرتبط است. این ضعف ناشی از دوری ناکافی از چارچوب ارائه شده توسط کاربر و عدم آمادگی کافی در مورد پرس و جوی SQL موجود است. در نتیجه، عوامل مخرب بدون احراز هویت می‌توانند از این نقص برای تزریق پرس‌وجوهای SQL تکمیلی به موارد قبلی استفاده کنند که منجر به استخراج داده‌های حساس از پایگاه داده می‌شود.

مهم است که تأکید کنیم این مشکل منحصراً بر کاربرانی تأثیر می‌گذارد که گزینه «فعال کردن جدول سفارشی برای usermeta» را در تنظیمات افزونه فعال کرده‌اند.

کاربران باید در اسرع وقت پلاگین های خود را به روز کنند

پس از افشای مسئولانه آسیب پذیری حیاتی، توسعه دهندگان افزونه به سرعت با انتشار نسخه 2.8.3 در 19 فوریه این مشکل را برطرف کردند.

اکیداً به کاربران توصیه می شود برای به حداقل رساندن تهدیدات احتمالی، به روز رسانی افزونه را به آخرین نسخه تسریع کنند. این توصیه بسیار مهم است زیرا Wordfence قبلاً حمله ای را که آسیب پذیری را هدف قرار می دهد در 24 ساعت گذشته خنثی کرده است.

قابل ذکر است، این اولین بار نیست که این افزونه با چالش های امنیتی مواجه می شود. در ژوئیه 2023، مجرمان سایبری با موفقیت از ضعف دیگری در همان افزونه به نام CVE-2023-3460 استفاده کردند. این آسیب‌پذیری، همچنین دارای امتیاز CVSS 9.8 است، به طور فعال توسط عوامل تهدید برای ایجاد کاربران مدیریت غیرمجاز و کنترل وب‌سایت‌های آسیب‌پذیر مورد سوء استفاده قرار گرفت.

گروه های مجرمان سایبری اغلب وردپرس را هدف قرار می دهند

یک کمپین اخیر افزایش قابل توجهی داشته است که در آن سایت‌های وردپرس در معرض خطر برای معرفی مستقیم تخلیه‌کننده‌های رمزنگاری مانند Angel Drainer یا هدایت بازدیدکنندگان به سایت‌های فیشینگ Web3 دارای تخلیه‌کننده‌ها مورد سوء استفاده قرار می‌گیرند.

این حملات از استراتژی‌های فیشینگ و تزریق‌های مخرب استفاده می‌کنند تا از اتکای اکوسیستم Web3 به تعاملات مستقیم کیف پول استفاده کنند، که هم برای صاحبان وب‌سایت و هم برای امنیت دارایی‌های کاربران تهدیدی قابل‌توجه است.

این روند به دنبال شناسایی یک ابتکار جدید drainer-as-a-service (DaaS) معروف به CG (CryptoGrab) است. CG یک برنامه وابسته قوی با بیش از 10000 عضو اجرا می کند که شامل روسی، انگلیسی و چینی زبانان است. قابل ذکر است، یک کانال تلگرامی که توسط عوامل تهدید کنترل می شود، مهاجمان بالقوه را به یک ربات تلگرام هدایت می کند و اجرای عملیات کلاهبرداری بدون وابستگی خارجی را تسهیل می کند.

از قابلیت‌های این ربات می‌توان به دریافت دامنه رایگان، کپی کردن قالب موجود برای دامنه جدید، تعیین آدرس کیف پول برای وجوه هدایت‌شده و ارائه حفاظت Cloudflare برای دامنه جدید ایجاد شده اشاره کرد.

علاوه بر این، گروه تهدید از دو ربات تلگرام سفارشی به نام‌های SiteCloner و CloudflarePage استفاده می‌کند. SiteCloner وب سایت های قانونی موجود را کپی می کند، در حالی که CloudflarePage محافظت از Cloudflare را اضافه می کند. سپس این صفحات شبیه‌سازی شده عمدتاً از طریق حساب‌های در معرض خطر X (توئیتر سابق) منتشر می‌شوند.