CVE-2024-1071 „WordPress“ papildinio pažeidžiamumas
Plačiai naudojamame „WordPress“ papildinyje, vadinamame „Ultimate Member“, kuriame yra daugiau nei 200 000 aktyvių įdiegimų, buvo atskleistas nerimą keliantis saugos pažeidžiamumas. Šį trūkumą, identifikuotą kaip CVE-2024-1071 ir kuriam CVSS balas buvo 9,8 iš 10, išaiškino saugumo tyrinėtojas Christiaanas Swiersas.
Remiantis vartotojams pateiktu patarimu, pažeidžiamumas yra 2.1.3–2.8.2 papildinio versijose ir yra susietas su SQL įpurškimu per „rūšiavimo“ parametrą. Šis trūkumas kyla dėl netinkamo atsiribojimo nuo vartotojo pateiktos sistemos ir nepakankamo pasiruošimo esamai SQL užklausai. Todėl kenkėjiški veikėjai, neturintys autentifikavimo, gali pasinaudoti šia klaida ir įterpti papildomų SQL užklausų į jau esančias, todėl iš duomenų bazės gali būti išgaunami jautrūs duomenys.
Svarbu pabrėžti, kad ši problema turi įtakos tik tiems naudotojams, kurie papildinio nustatymuose įgalino parinktį „Įgalinti tinkintą lentelę vartotojo meta“.
Vartotojai turėtų kuo greičiau atnaujinti savo papildinius
Atsakingai atskleidę kritinį pažeidžiamumą, įskiepių kūrėjai nedelsdami išsprendė problemą, vasario 19 d. išleisdami 2.8.3 versiją.
Vartotojams primygtinai rekomenduojama paspartinti papildinio atnaujinimą į naujausią versiją, kad būtų sumažintos galimos grėsmės. Ši rekomendacija yra ypač svarbi, nes Wordfence per pastarąsias 24 valandas jau sutrukdė atakai, nukreiptai į pažeidžiamumą.
Pažymėtina, kad tai ne pirmas kartas, kai papildinys susiduria su saugumo iššūkiais. 2023 m. liepos mėn. kibernetiniai nusikaltėliai sėkmingai išnaudojo kitą to paties papildinio silpnybę, identifikuotą kaip CVE-2023-3460. Šiuo pažeidžiamumu, kurio CVSS balas yra 9,8, grėsmės veikėjai aktyviai piktnaudžiavo, siekdami nustatyti neteisėtus administratorius ir valdyti pažeidžiamas svetaines.
Kibernetinių nusikaltėlių grupės dažnai taikosi į „WordPress“.
Neseniai vykusioje kampanijoje pastebimai padaugėjo pažeistų „WordPress“ svetainių, kurios išnaudojamos siekiant tiesiogiai pristatyti kriptovaliutų pašalinimo priemones, pvz., „Angel Drainer“, arba nukreipti lankytojus į „Web3“ sukčiavimo svetaines, kuriose yra nusausinimo priemonių.
Šiose atakose naudojamos sukčiavimo strategijos ir kenkėjiškos injekcijos, siekiant pasinaudoti Web3 ekosistemos priklausomybe nuo tiesioginės piniginės sąveikos, keldamos didelę grėsmę tiek svetainių savininkams, tiek naudotojų turto saugumui.
Ši tendencija atsiranda po to, kai buvo sukurta nauja „Drener-as-a-service“ (DaaS) iniciatyva, žinoma kaip CG (CryptoGrab). CG vykdo tvirtą filialų programą, kurioje yra daugiau nei 10 000 narių, apimančių rusų, anglų ir kinų kalbas kalbančius žmones. Pažymėtina, kad „Telegram“ kanalas, kurį kontroliuoja grėsmės veikėjai, nukreipia potencialius užpuolikus prie „Telegram“ roboto, palengvindamas sukčiavimo operacijų vykdymą be išorinių priklausomybių.
Šio roboto galimybės apima nemokamą domeno gavimą, esamo šablono kopijavimą naujam domenui, piniginės adreso nurodymą peradresuotoms lėšoms ir Cloudflare apsaugos užtikrinimą naujai sukurtam domenui.
Be to, grėsmių grupėje naudojami du pasirinktiniai „Telegram“ robotai, pavadinti „SiteCloner“ ir „CloudflarePage“. „SiteCloner“ dubliuoja esamas teisėtas svetaines, o „CloudflarePage“ prideda „Cloudflare“ apsaugą. Tada šie klonuoti puslapiai pirmiausia platinami per pažeistas X (buvusias „Twitter“) paskyras.