CVE-2024-1071 Ranjivost WordPress dodatka

Zabrinjavajuća sigurnosna ranjivost otkrivena je u široko korištenom WordPress dodatku poznatom kao Ultimate Member, koji se može pohvaliti s više od 200.000 aktivnih instalacija. Ovu grešku, identificiranu kao CVE-2024-1071 i dodijeljenu CVSS ocjenu 9,8 od 10, otkrio je sigurnosni istraživač Christiaan Swiers.

Prema upozorenju izdanom korisnicima, ranjivost se nalazi u verzijama dodatka od 2.1.3 do 2.8.2 i povezana je s SQL Injection putem parametra 'sortiranja'. Ova slabost proizlazi iz neadekvatnog udaljavanja od korisničkog okvira i nedostatka dovoljne pripreme za postojeći SQL upit. Posljedično, zlonamjerni akteri bez provjere autentičnosti mogli bi iskoristiti ovaj nedostatak za ubacivanje dodatnih SQL upita u već postojeće, što bi dovelo do ekstrakcije osjetljivih podataka iz baze podataka.

Važno je naglasiti da ovaj problem utječe isključivo na korisnike koji su omogućili opciju "Omogući prilagođenu tablicu za korisničku meta" u postavkama dodatka.

Korisnici bi trebali ažurirati svoje dodatke što je prije moguće

Nakon odgovornog otkrivanja kritične ranjivosti, programeri dodataka odmah su se pozabavili problemom izdavanjem verzije 2.8.3 19. veljače.

Korisnicima se toplo savjetuje da ubrzaju ažuriranje dodatka na najnoviju verziju kako bi se potencijalne prijetnje svele na minimum. Ova preporuka je posebno važna jer je Wordfence već osujetio napad usmjeren na ranjivost u posljednja 24 sata.

Naime, ovo nije prvi put da se dodatak suočava sa sigurnosnim izazovima. U srpnju 2023. kibernetički kriminalci uspješno su iskoristili još jednu slabost u istom dodatku, identificiranu kao CVE-2023-3460. Ovu ranjivost, koja također nosi CVSS ocjenu 9,8, aktivno su zlorabili akteri prijetnji kako bi uspostavili neovlaštene administrativne korisnike i stekli kontrolu nad ranjivim web stranicama.

Grupe kibernetičkih kriminalaca često ciljaju na WordPress

Nedavna kampanja zabilježila je primjetan porast gdje se ugrožene WordPress stranice iskorištavaju za uvođenje kripto drenaža kao što je Angel Drainer izravno ili preusmjeravanje posjetitelja na Web3 phishing web stranice koje sadrže drenaže.

Ovi napadi koriste strategije krađe identiteta i zlonamjerne injekcije kako bi iskoristili oslanjanje ekosustava Web3 na izravne interakcije novčanika, što predstavlja značajnu prijetnju i vlasnicima web stranica i sigurnosti korisničke imovine.

Ovaj trend slijedi identifikaciju nove inicijative drainer-as-a-service (DaaS) poznate kao CG (CryptoGrab). CG upravlja snažnim affiliate programom s više od 10 000 članova, koji obuhvaća govornike ruskog, engleskog i kineskog jezika. Naime, Telegram kanal kojim upravljaju akteri prijetnji vodi potencijalne napadače do Telegram bota, olakšavajući izvršenje operacija prijevare bez vanjskih ovisnosti.

Mogućnosti ovog bota uključuju besplatno dobivanje domene, dupliciranje postojećeg predloška za novu domenu, određivanje adrese novčanika za preusmjerena sredstva i pružanje Cloudflare zaštite za novostvorenu domenu.

Nadalje, skupina prijetnji koristi dva prilagođena Telegram bota pod nazivom SiteCloner i CloudflarePage. SiteCloner duplicira postojeće legitimne web stranice, dok CloudflarePage dodaje Cloudflare zaštitu. Ove klonirane stranice zatim se primarno šire putem kompromitiranih X (bivši Twitter) računa.