CVE-2024-1071 WordPress spraudņa ievainojamība

Plaši izmantotajā WordPress spraudnī, kas pazīstams kā Ultimate Member, ir atklāta satraucoša drošības ievainojamība, kurā ir vairāk nekā 200 000 aktīvu instalāciju. Šo trūkumu, kas identificēts kā CVE-2024-1071 un kam piešķirts CVSS vērtējums 9,8 no 10, atklāja drošības pētnieks Kristians Svaiers.

Saskaņā ar lietotājiem sniegto ieteikumu, ievainojamība atrodas spraudņa versijās no 2.1.3 līdz 2.8.2, un tā ir saistīta ar SQL injekciju, izmantojot parametru “kārtošana”. Šis trūkums rodas no nepietiekamas atkāpšanās no lietotāja nodrošinātās sistēmas un nepietiekamas sagatavošanās esošajam SQL vaicājumam. Līdz ar to ļaunprātīgi dalībnieki bez autentifikācijas var izmantot šo trūkumu, lai ievadītu papildu SQL vaicājumus jau esošajos vaicājumos, kā rezultātā no datu bāzes tiek izvilkti sensitīvi dati.

Ir svarīgi uzsvērt, ka šī problēma skar tikai tos lietotājus, kuri spraudņa iestatījumos ir iespējojuši opciju Iespējot pielāgoto tabulu lietotāja metadatam.

Lietotājiem pēc iespējas ātrāk jāatjaunina savi spraudņi

Pēc atbildīgās kritiskās ievainojamības atklāšanas spraudņa izstrādātāji nekavējoties novērsa problēmu, 19. februārī izlaižot versiju 2.8.3.

Lietotājiem ir ļoti ieteicams paātrināt spraudņa atjaunināšanu uz jaunāko versiju, lai samazinātu iespējamos draudus. Šis ieteikums ir īpaši svarīgs, jo Wordfence pēdējo 24 stundu laikā jau ir novērsis uzbrukumu, kas vērsts pret ievainojamību.

Jāatzīmē, ka šī nav pirmā reize, kad spraudnis saskaras ar drošības problēmām. 2023. gada jūlijā kibernoziedznieki veiksmīgi izmantoja vēl vienu tā paša spraudņa nepilnību, kas identificēta kā CVE-2023-3460. Šo ievainojamību, kurai ir arī CVSS punkts 9,8, apdraudējuma dalībnieki aktīvi izmantoja, lai izveidotu nesankcionētus administratorus un iegūtu kontroli pār neaizsargātām vietnēm.

Kibernoziedznieku grupas bieži vien ir vērstas uz WordPress

Nesenā kampaņā ir novērots ievērojams pieaugums, kad apdraudētas WordPress vietnes tiek izmantotas, lai tieši ieviestu kriptovalūtu iztukšotājus, piemēram, Angel Drainer, vai novirzītu apmeklētājus uz Web3 pikšķerēšanas vietnēm, kurās ir drenāžas.

Šajos uzbrukumos tiek izmantotas pikšķerēšanas stratēģijas un ļaunprātīgas injekcijas, lai izmantotu Web3 ekosistēmas paļaušanos uz tiešo maka mijiedarbību, radot nopietnus draudus gan vietņu īpašniekiem, gan lietotāju līdzekļu drošībai.

Šī tendence seko jaunas kanalizācijas kā pakalpojuma (DaaS) iniciatīvas identificēšanai, kas pazīstama kā CG (CryptoGrab). CG pārvalda spēcīgu saistīto programmu ar vairāk nekā 10 000 dalībnieku, kas ietver krievu, angļu un ķīniešu valodas runātājus. Konkrēti, Telegram kanāls, ko kontrolē draudu dalībnieki, novirza potenciālos uzbrucējus uz Telegram robotu, atvieglojot krāpšanas darbību veikšanu bez ārējām atkarībām.

Šī robota iespējas ietver bezmaksas domēna iegūšanu, esošās veidnes dublēšanu jaunajam domēnam, maka adreses norādīšanu novirzītajiem līdzekļiem un Cloudflare aizsardzības nodrošināšanu jaunizveidotajam domēnam.

Turklāt draudu grupa izmanto divus pielāgotus Telegram robotus ar nosaukumu SiteCloner un CloudflarePage. SiteCloner dublē esošās likumīgās vietnes, savukārt CloudflarePage pievieno Cloudflare aizsardzību. Šīs klonētās lapas pēc tam galvenokārt tiek izplatītas, izmantojot apdraudētus X (iepriekš Twitter) kontus.