CVE-2024-1071 WordPress beépülő modul biztonsági rése
Aggasztó biztonsági résre bukkantak a széles körben használt, Ultimate Member néven ismert WordPress bővítményben, amely több mint 200 000 aktív telepítéssel büszkélkedhet. Ezt a hibát, amelyet CVE-2024-1071-ként azonosítottak, és 10-ből 9,8-as CVSS-pontszámot adtak, Christiaan Swiers biztonsági kutató mutatta be.
A felhasználóknak kiadott figyelmeztetés szerint a sérülékenység a bővítmény 2.1.3-2.8.2-es verzióiban található, és a „rendezés” paraméteren keresztül az SQL Injection-hez van társítva. Ez a gyengeség a felhasználó által biztosított keretrendszertől való nem megfelelő távolodásból és a meglévő SQL-lekérdezés megfelelő előkészítésének hiányából fakad. Következésképpen a hitelesítés nélküli rosszindulatú szereplők ezt a hibát kihasználva kiegészítő SQL-lekérdezéseket szúrhatnak be a már meglévő lekérdezésekbe, ami érzékeny adatok kinyeréséhez vezethet az adatbázisból.
Fontos kiemelni, hogy ez a probléma kizárólag azokat a felhasználókat érinti, akik engedélyezték az „Egyéni táblázat engedélyezése a usermeta számára” lehetőséget a beépülő modul beállításaiban.
A felhasználóknak a lehető leghamarabb frissíteniük kell beépülő moduljaikat
A kritikus sérülékenység felelősségteljes nyilvánosságra hozatalát követően a bővítmény fejlesztői a 2.8.3-as verzió február 19-i kiadásával azonnal orvosolták a problémát.
A felhasználóknak nyomatékosan javasoljuk, hogy a lehetséges fenyegetések minimalizálása érdekében gyorsítsák fel a bővítmény frissítését a legújabb verzióra. Ez az ajánlás különösen fontos, mivel a Wordfence az elmúlt 24 órában már meghiúsított egy, a sebezhetőséget célzó támadást.
Nevezetesen, nem ez az első alkalom, hogy a bővítmény biztonsági kihívásokkal szembesül. 2023 júliusában a kiberbűnözők sikeresen kihasználtak egy másik gyengeséget ugyanabban a bővítményben, a CVE-2023-3460 néven. Ezzel a sérülékenységgel, amely szintén 9,8-as CVSS-pontszámot kapott, a fenyegetés szereplői aktívan visszaéltek, hogy jogosulatlan rendszergazdai felhasználókat hozzanak létre, és átvegyék az irányítást a sebezhető webhelyek felett.
A kiberbűnözők csoportjai gyakran a WordPress-t célozzák
Egy közelmúltbeli kampányban jelentős növekedés tapasztalható, amikor a feltört WordPress-webhelyeket kihasználva kripto-leválasztókat (például az Angel Drainert) közvetlenül bevezetnek, vagy a látogatókat olyan Web3 adathalász oldalakra irányítják át, amelyekben a csatornák kiürítőt tartalmaznak.
Ezek a támadások adathalász stratégiákat és rosszindulatú injekciókat alkalmaznak, hogy kihasználják a Web3 ökoszisztéma közvetlen pénztárca-interakcióitól való függőségét, jelentős veszélyt jelentve a webhelytulajdonosokra és a felhasználói eszközök biztonságára egyaránt.
Ez a tendencia a CG (CryptoGrab) néven ismert új drainer-as-a-service (DaaS) kezdeményezés azonosítását követi. A CG több mint 10 000 taggal, oroszul, angolul és kínaiul beszélőket is magában foglaló, erőteljes társulási programot működtet. Nevezetesen, a fenyegetés szereplői által irányított Telegram-csatorna egy Telegram-bothoz irányítja a potenciális támadókat, megkönnyítve a csalási műveletek végrehajtását külső függőségek nélkül.
Ennek a botnak a lehetőségei közé tartozik a domain ingyenes megszerzése, egy meglévő sablon megkettőzése az új tartományhoz, a pénztárca címének megadása az átirányított pénzeszközökhöz, valamint a Cloudflare-védelem biztosítása az újonnan létrehozott tartomány számára.
Ezen túlmenően a fenyegetettségi csoport két egyedi Telegram-botot alkalmaz, a SiteCloner és a CloudflarePage néven. A SiteCloner megduplázza a meglévő legitim webhelyeket, míg a CloudflarePage Cloudflare-védelmet ad hozzá. Ezeket a klónozott oldalakat ezután elsősorban a feltört X (korábban Twitter) fiókokon keresztül terjesztik.