CVE-2024-1071 Kwetsbaarheid in WordPress-plug-ins
Er is een zorgwekkend beveiligingsprobleem aan het licht gekomen in de veelgebruikte WordPress-plug-in, bekend als Ultimate Member, die meer dan 200.000 actieve installaties heeft. Deze fout, geïdentificeerd als CVE-2024-1071 en toegewezen aan een CVSS-score van 9,8 op 10, werd aan het licht gebracht door beveiligingsonderzoeker Christiaan Swiers.
Volgens een advies aan gebruikers bevindt het beveiligingslek zich in versies 2.1.3 tot 2.8.2 van de plug-in en is het gekoppeld aan SQL-injectie via de 'sorting'-parameter. Deze zwakte komt voort uit het onvoldoende loskomen van het door de gebruiker geleverde raamwerk en een gebrek aan voldoende voorbereiding op de bestaande SQL-query. Bijgevolg zouden kwaadwillende actoren zonder authenticatie deze fout kunnen misbruiken om aanvullende SQL-query's in reeds bestaande queries te injecteren, wat zou leiden tot het extraheren van gevoelige gegevens uit de database.
Het is belangrijk om te benadrukken dat dit probleem uitsluitend gevolgen heeft voor gebruikers die de optie 'Aangepaste tabel voor usermeta inschakelen' hebben ingeschakeld in de plug-ininstellingen.
Gebruikers moeten hun plug-ins zo snel mogelijk bijwerken
Na de verantwoorde openbaarmaking van de kritieke kwetsbaarheid hebben de plug-inontwikkelaars het probleem onmiddellijk aangepakt door op 19 februari versie 2.8.3 uit te brengen.
Gebruikers wordt sterk aangeraden om de update van de plug-in naar de nieuwste versie te bespoedigen om potentiële bedreigingen te minimaliseren. Deze aanbeveling is vooral van cruciaal belang omdat Wordfence de afgelopen 24 uur al een aanval op de kwetsbaarheid heeft verijdeld.
Dit is met name niet de eerste keer dat de plug-in met beveiligingsproblemen wordt geconfronteerd. In juli 2023 maakten cybercriminelen met succes misbruik van een andere zwakte in dezelfde plug-in, geïdentificeerd als CVE-2023-3460. Deze kwetsbaarheid, die ook een CVSS-score van 9,8 heeft, werd actief misbruikt door bedreigingsactoren om ongeautoriseerde beheerders aan te trekken en controle te krijgen over kwetsbare websites.
Groepen cybercriminelen richten zich vaak op WordPress
Een recente campagne heeft een opmerkelijke toename gezien waarbij gecompromitteerde WordPress-sites worden uitgebuit om crypto-drainers zoals de Angel Drainer rechtstreeks te introduceren of bezoekers om te leiden naar Web3-phishing-sites met drainers.
Deze aanvallen maken gebruik van phishing-strategieën en kwaadaardige injecties om te profiteren van de afhankelijkheid van het Web3-ecosysteem van directe portemonnee-interacties, wat een aanzienlijke bedreiging vormt voor zowel website-eigenaren als de veiligheid van gebruikersactiva.
Deze trend volgt op de identificatie van een nieuw drainer-as-a-service (DaaS) initiatief dat bekend staat als CG (CryptoGrab). CG heeft een robuust partnerprogramma met meer dan 10.000 leden, waaronder Russisch-, Engels- en Chineessprekenden. Met name een Telegram-kanaal dat wordt beheerd door bedreigingsactoren leidt potentiële aanvallers naar een Telegram-bot, waardoor de uitvoering van fraudeoperaties wordt vergemakkelijkt zonder externe afhankelijkheden.
Tot de mogelijkheden van deze bot behoren onder meer het gratis verkrijgen van een domein, het dupliceren van een bestaande sjabloon voor het nieuwe domein, het specificeren van het portemonnee-adres voor omgeleid geld en het bieden van Cloudflare-bescherming voor het nieuw gecreëerde domein.
Bovendien maakt de bedreigingsgroep gebruik van twee aangepaste Telegram-bots genaamd SiteCloner en CloudflarePage. SiteCloner dupliceert bestaande legitieme websites, terwijl CloudflarePage Cloudflare-bescherming toevoegt. Deze gekloonde pagina's worden vervolgens voornamelijk verspreid via gecompromitteerde X-accounts (voorheen Twitter).