CVE-2024-1071 Vulnerabilità del plugin WordPress
Una preoccupante vulnerabilità di sicurezza è stata esposta nel plugin WordPress ampiamente utilizzato noto come Ultimate Member, che vanta oltre 200.000 installazioni attive. Questo difetto, identificato come CVE-2024-1071 e a cui è stato assegnato un punteggio CVSS di 9,8 su 10, è stato portato alla luce dal ricercatore di sicurezza Christiaan Swiers.
Secondo un avviso diffuso agli utenti, la vulnerabilità risiede nelle versioni dalla 2.1.3 alla 2.8.2 del plugin ed è associata a SQL Injection tramite il parametro 'sorting'. Questa debolezza deriva da un allontanamento inadeguato dal framework fornito dall'utente e da una mancanza di preparazione sufficiente sulla query SQL esistente. Di conseguenza, gli autori malintenzionati senza autenticazione potrebbero sfruttare questa falla per inserire query SQL supplementari in quelle preesistenti, portando all’estrazione di dati sensibili dal database.
È importante sottolineare che questo problema riguarda esclusivamente gli utenti che hanno abilitato l'opzione "Abilita tabella personalizzata per usermeta" nelle impostazioni del plug-in.
Gli utenti dovrebbero aggiornare i propri plugin il prima possibile
Dopo la divulgazione responsabile della vulnerabilità critica, gli sviluppatori del plugin hanno prontamente risolto il problema rilasciando la versione 2.8.3 il 19 febbraio.
Si consiglia vivamente agli utenti di accelerare l'aggiornamento del plug-in alla versione più recente per ridurre al minimo le potenziali minacce. Questa raccomandazione è particolarmente importante poiché Wordfence ha già sventato un attacco mirato a questa vulnerabilità nelle ultime 24 ore.
In particolare, questa non è la prima volta che il plugin deve affrontare sfide di sicurezza. Nel luglio 2023, i criminali informatici hanno sfruttato con successo un’altra debolezza dello stesso plugin, identificata come CVE-2023-3460. Questa vulnerabilità, anch'essa con un punteggio CVSS di 9,8, è stata attivamente sfruttata dagli autori delle minacce per identificare utenti amministratori non autorizzati e ottenere il controllo dei siti Web vulnerabili.
I gruppi di criminali informatici spesso prendono di mira WordPress
Una recente campagna ha visto un notevole aumento in cui i siti WordPress compromessi vengono sfruttati per introdurre direttamente drenatori di criptovalute come Angel Drainer o reindirizzare i visitatori a siti di phishing Web3 dotati di drenatori.
Questi attacchi utilizzano strategie di phishing e iniezioni dannose per sfruttare la dipendenza dell'ecosistema Web3 dalle interazioni dirette del portafoglio, ponendo una minaccia significativa sia per i proprietari dei siti Web che per la sicurezza delle risorse degli utenti.
Questa tendenza segue l’identificazione di una nuova iniziativa Drainer-as-a-Service (DaaS) nota come CG (CryptoGrab). CG gestisce un solido programma di affiliazione con oltre 10.000 membri, che comprendono persone di lingua russa, inglese e cinese. In particolare, un canale Telegram controllato dagli autori delle minacce guida i potenziali aggressori verso un bot Telegram, facilitando l’esecuzione di operazioni di frode senza dipendenze esterne.
Le funzionalità di questo bot includono l'ottenimento di un dominio gratuitamente, la duplicazione di un modello esistente per il nuovo dominio, la specifica dell'indirizzo del portafoglio per i fondi reindirizzati e la fornitura di protezione Cloudflare per il dominio appena creato.
Inoltre, il gruppo di minacce utilizza due bot Telegram personalizzati denominati SiteCloner e CloudflarePage. SiteCloner duplica i siti Web legittimi esistenti, mentre CloudflarePage aggiunge la protezione Cloudflare. Queste pagine clonate vengono poi diffuse principalmente attraverso account X (ex Twitter) compromessi.