CVE-2024-1071 WordPress 플러그인 취약점

200,000개 이상의 활성 설치를 자랑하는 Ultimate Member로 알려진 널리 사용되는 WordPress 플러그인에서 걱정스러운 보안 취약점이 노출되었습니다. CVE-2024-1071로 식별되고 CVSS 점수가 10점 만점에 9.8점인 이 결함은 보안 연구원인 Christiaan Swiers에 의해 밝혀졌습니다.

사용자에게 발행된 권고에 따르면 이 취약점은 플러그인 버전 2.1.3~2.8.2에 존재하며 '정렬' 매개변수를 통한 SQL 주입과 연관되어 있습니다. 이러한 약점은 사용자가 제공하는 프레임워크에서 벗어나는 것이 부적절하고 기존 SQL 쿼리에 대한 준비가 부족하기 때문에 발생합니다. 결과적으로, 인증되지 않은 악의적인 행위자는 이 결함을 악용하여 기존 쿼리에 보충 SQL 쿼리를 주입하여 데이터베이스에서 민감한 데이터를 추출할 수 있습니다.

이 문제는 플러그인 설정에서 'usermeta에 대한 사용자 정의 테이블 활성화' 옵션을 활성화한 사용자에게만 영향을 미친다는 점을 강조하는 것이 중요합니다.

사용자는 가능한 한 빨리 플러그인을 업데이트해야 합니다.

심각한 취약점이 공개된 후 플러그인 개발자는 2월 19일 버전 2.8.3을 출시하여 문제를 즉시 해결했습니다.

잠재적인 위협을 최소화하려면 플러그인을 최신 버전으로 신속하게 업데이트하는 것이 좋습니다. Wordfence는 지난 24시간 이내에 취약점을 표적으로 삼은 공격을 이미 차단했기 때문에 이 권장 사항은 특히 중요합니다.

특히 플러그인이 보안 문제에 직면한 것은 이번이 처음이 아닙니다. 2023년 7월, 사이버 범죄자들은 CVE-2023-3460으로 식별된 동일한 플러그인의 또 다른 약점을 성공적으로 악용했습니다. CVSS 점수가 9.8인 이 취약점은 위협 행위자들에 의해 적극적으로 악용되어 승인되지 않은 관리자 사용자를 설정하고 취약한 웹 사이트를 제어할 수 있게 되었습니다.

사이버 범죄 그룹은 종종 WordPress를 표적으로 삼습니다.

최근 캠페인에서는 손상된 WordPress 사이트를 악용하여 Angel Drainer와 같은 암호화폐 드레이너를 직접 도입하거나 드레이너가 포함된 Web3 피싱 사이트로 방문자를 리디렉션하는 경우가 눈에 띄게 증가했습니다.

이러한 공격은 직접적인 지갑 상호 작용에 대한 Web3 생태계의 의존성을 활용하기 위해 피싱 전략과 악의적인 주입을 사용하여 웹사이트 소유자와 사용자 자산의 보안 모두에 심각한 위협을 가합니다.

이러한 추세는 CG(CryptoGrab)로 알려진 새로운 DaaS(Drainer-as-a-Service) 이니셔티브의 식별을 따릅니다. CG는 러시아어, 영어, 중국어를 구사하는 10,000명 이상의 회원을 보유한 강력한 제휴 프로그램을 운영하고 있습니다. 특히, 위협 행위자가 제어하는 텔레그램 채널은 잠재적인 공격자를 텔레그램 봇으로 안내하여 외부 종속성 없이 사기 작업의 실행을 촉진합니다.

이 봇의 기능에는 무료로 도메인 획득, 새 도메인에 대한 기존 템플릿 복제, 리디렉션된 자금에 대한 지갑 주소 지정, 새로 생성된 도메인에 Cloudflare 보호 제공 등이 포함됩니다.

또한 위협 그룹은 SiteCloner 및 CloudflarePage라는 두 개의 맞춤형 Telegram 봇을 사용합니다. SiteCloner는 기존의 합법적인 웹사이트를 복제하고 CloudflarePage는 Cloudflare 보호 기능을 추가합니다. 이렇게 복제된 페이지는 주로 손상된 X(이전의 Twitter) 계정을 통해 유포됩니다.