CVE-2024-1071 WordPress-laajennuksen haavoittuvuus

Huolestuttava tietoturvahaavoittuvuus on paljastunut laajasti käytetyssä Ultimate Member -laajennuksessa, jossa on yli 200 000 aktiivista asennusta. Tietoturvatutkija Christiaan Swiers paljasti tämän virheen, joka tunnistettiin nimellä CVE-2024-1071 ja jolle on annettu CVSS-pistemäärä 9,8/10.

Käyttäjille annetun varoituksen mukaan haavoittuvuus löytyy laajennuksen versioista 2.1.3–2.8.2, ja se liittyy SQL Injectioniin lajitteluparametrin kautta. Tämä heikkous johtuu riittämättömästä päästä eroon käyttäjän toimittamasta viitekehyksestä ja riittämättömästä valmistelusta olemassa olevaan SQL-kyselyyn. Tämän seurauksena haitalliset toimijat, joilla ei ole todennusta, voivat hyödyntää tätä puutetta lisätäkseen SQL-kyselyitä olemassa oleviin kyselyihin, mikä johtaa arkaluonteisten tietojen poimimiseen tietokannasta.

On tärkeää korostaa, että tämä ongelma koskee vain käyttäjiä, jotka ovat ottaneet käyttöön "Ota mukautettu taulukko käyttäjäsisällölle" -vaihtoehdon laajennuksen asetuksista.

Käyttäjien tulee päivittää laajennuksiaan mahdollisimman pian

Kriittisen haavoittuvuuden vastuullisen paljastamisen jälkeen laajennuksen kehittäjät ratkaisivat ongelman nopeasti julkaisemalla version 2.8.3 19. helmikuuta.

Käyttäjiä kehotetaan voimakkaasti nopeuttamaan laajennuksen päivitystä uusimpaan versioon mahdollisten uhkien minimoimiseksi. Tämä suositus on erityisen tärkeä, koska Wordfence on jo estänyt haavoittuvuuteen kohdistuvan hyökkäyksen viimeisen 24 tunnin aikana.

Erityisesti tämä ei ole ensimmäinen kerta, kun laajennus kohtaa tietoturvahaasteita. Heinäkuussa 2023 kyberrikolliset käyttivät onnistuneesti hyväkseen toista heikkoutta samassa laajennuksessa, joka tunnetaan nimellä CVE-2023-3460. Uhkatoimijat käyttivät tätä haavoittuvuutta, jonka CVSS-pistemäärä on 9,8, aktiivisesti väärinkäyttääkseen luvattomia järjestelmänvalvojakäyttäjiä ja haavoittuvien verkkosivustojen hallintaa.

Cybercriminals Groupit kohdistuvat usein WordPressiin

Äskettäisessä kampanjassa on havaittu huomattava lisääntyminen, jossa vaarantuneita WordPress-sivustoja hyödynnetään salauksen tyhjennysohjelmien, kuten Angel Drainer, esittelyyn suoraan tai vierailijoiden ohjaamiseen Web3-phishing-sivustoille, joissa on tyhjennysohjelmia.

Nämä hyökkäykset käyttävät tietojenkalastelustrategioita ja haitallisia lisäyksiä hyödyntääkseen Web3-ekosysteemin riippuvuutta suorista lompakkovuorovaikutuksista, mikä muodostaa merkittävän uhan sekä verkkosivustojen omistajille että käyttäjien omaisuuden turvallisuudelle.

Tämä trendi seuraa uuden drainer-as-a-service (DaaS) -aloitteen tunnistamista, joka tunnetaan nimellä CG (CryptoGrab). CG:llä on vankka affiliate-ohjelma, jossa on yli 10 000 jäsentä ja joka kattaa venäjän, englannin ja kiinan puhujat. Erityisesti uhkatoimijoiden hallitsema Telegram-kanava ohjaa mahdolliset hyökkääjät Telegram-botille, mikä helpottaa petosoperaatioiden suorittamista ilman ulkoisia riippuvuuksia.

Tämän botin ominaisuuksiin kuuluu verkkotunnuksen hankkiminen ilmaiseksi, olemassa olevan mallin kopioiminen uudelle verkkotunnukselle, lompakkoosoitteen määrittäminen uudelleenohjatuille varoille ja Cloudflare-suojaus äskettäin luodulle verkkotunnukselle.

Lisäksi uhkaryhmä käyttää kahta mukautettua Telegram-bottia nimeltä SiteCloner ja CloudflarePage. SiteCloner kopioi olemassa olevat lailliset verkkosivustot, kun taas CloudflarePage lisää Cloudflare-suojauksen. Nämä kloonatut sivut levitetään sitten ensisijaisesti vaarantuneiden X-tilien (entinen Twitter) kautta.