CVE-2024-1071 Kerentanan Pemalam WordPress

Kerentanan keselamatan yang membimbangkan telah didedahkan dalam pemalam WordPress yang digunakan secara meluas yang dikenali sebagai Ahli Ultimate, yang mempunyai lebih 200,000 pemasangan aktif. Kelemahan ini, yang dikenal pasti sebagai CVE-2024-1071 dan memberikan skor CVSS 9.8 daripada 10, telah didedahkan oleh penyelidik keselamatan Christiaan Swiers.

Menurut nasihat yang dikeluarkan kepada pengguna, kelemahan berada dalam versi 2.1.3 hingga 2.8.2 pemalam dan dikaitkan dengan SQL Injection melalui parameter 'isih'. Kelemahan ini berpunca daripada tidak mencukupi untuk menjauhkan diri daripada rangka kerja yang dibekalkan pengguna dan kekurangan persediaan yang mencukupi pada pertanyaan SQL sedia ada. Akibatnya, pelaku berniat jahat tanpa pengesahan boleh mengeksploitasi kecacatan ini untuk menyuntik pertanyaan SQL tambahan kepada pertanyaan sedia ada, yang membawa kepada pengekstrakan data sensitif daripada pangkalan data.

Adalah penting untuk menyerlahkan bahawa isu ini memberi kesan secara eksklusif kepada pengguna yang telah mendayakan pilihan 'Dayakan jadual tersuai untuk usermeta' dalam tetapan pemalam.

Pengguna Harus Kemas Kini Pemalam Mereka Secepat Mungkin

Berikutan pendedahan yang bertanggungjawab terhadap kerentanan kritikal, pembangun pemalam segera menangani isu tersebut dengan mengeluarkan versi 2.8.3 pada 19 Februari.

Pengguna amat dinasihatkan untuk menyegerakan kemas kini pemalam kepada versi terkini untuk meminimumkan potensi ancaman. Pengesyoran ini amat penting kerana Wordfence telah pun menggagalkan serangan yang menyasarkan kerentanan dalam tempoh 24 jam yang lalu.

Terutama, ini bukan kali pertama pemalam itu menghadapi cabaran keselamatan. Pada Julai 2023, penjenayah siber berjaya mengeksploitasi satu lagi kelemahan dalam pemalam yang sama, yang dikenal pasti sebagai CVE-2023-3460. Kerentanan ini, juga membawa skor CVSS 9.8, telah disalahgunakan secara aktif oleh pelaku ancaman untuk mewujudkan pengguna pentadbir yang tidak dibenarkan dan mengawal tapak web yang terdedah.

Kumpulan Penjenayah Siber Selalunya menyasarkan WordPress

Kempen baru-baru ini telah menyaksikan peningkatan yang ketara di mana tapak WordPress yang terjejas dieksploitasi untuk memperkenalkan penyaring kripto seperti Angel Drainer secara langsung atau mengalihkan pelawat ke tapak pancingan data Web3 yang menampilkan pengering.

Serangan ini menggunakan strategi pancingan data dan suntikan berniat jahat untuk memanfaatkan kebergantungan ekosistem Web3 pada interaksi dompet langsung, yang menimbulkan ancaman besar kepada pemilik tapak web dan keselamatan aset pengguna.

Aliran ini mengikuti pengenalpastian inisiatif drainer-as-a-service (DaaS) baharu yang dikenali sebagai CG (CryptoGrab). CG mengendalikan program gabungan yang mantap dengan lebih 10,000 ahli, merangkumi penutur bahasa Rusia, Inggeris dan Cina. Terutamanya, saluran Telegram yang dikawal oleh pelaku ancaman membimbing penyerang berpotensi ke bot Telegram, memudahkan pelaksanaan operasi penipuan tanpa pergantungan luar.

Keupayaan bot ini termasuk mendapatkan domain secara percuma, menduplikasi templat sedia ada untuk domain baharu, menyatakan alamat dompet untuk dana diubah hala dan menyediakan perlindungan Cloudflare untuk domain yang baru dibuat.

Tambahan pula, kumpulan ancaman menggunakan dua bot Telegram tersuai bernama SiteCloner dan CloudflarePage. SiteCloner menduplikasi tapak web sah sedia ada, manakala CloudflarePage menambah perlindungan Cloudflare. Halaman klon ini kemudiannya disebarkan terutamanya melalui akaun X (dahulunya Twitter) yang terjejas.