Luka w zabezpieczeniach wtyczki WordPress CVE-2024-1071
W powszechnie używanej wtyczce WordPress znanej jako Ultimate Member wykryto niepokojącą lukę w zabezpieczeniach, która może pochwalić się ponad 200 000 aktywnych instalacji. Luka ta, zidentyfikowana jako CVE-2024-1071 i posiadająca wynik CVSS wynoszący 9,8 na 10, została ujawniona przez badacza bezpieczeństwa Christiaana Swiersa.
Zgodnie z instrukcją wydaną użytkownikom luka występuje w wersjach wtyczki od 2.1.3 do 2.8.2 i jest powiązana z wstrzykiwaniem SQL poprzez parametr „sorting”. Ta słabość wynika z nieodpowiedniego odejścia od frameworka dostarczonego przez użytkownika i braku wystarczającego przygotowania istniejącego zapytania SQL. W rezultacie złośliwi aktorzy nieposiadający uwierzytelnienia mogą wykorzystać tę lukę do wstrzyknięcia dodatkowych zapytań SQL do wcześniej istniejących, co doprowadzi do ekstrakcji wrażliwych danych z bazy danych.
Należy podkreślić, że ten problem dotyczy wyłącznie użytkowników, którzy włączyli opcję „Włącz niestandardową tabelę dla metaużytkowników” w ustawieniach wtyczki.
Użytkownicy powinni jak najszybciej zaktualizować swoje wtyczki
Po odpowiedzialnym ujawnieniu krytycznej luki twórcy wtyczki natychmiast zajęli się tym problemem, wydając 19 lutego wersję 2.8.3.
Użytkownikom zdecydowanie zaleca się przyspieszenie aktualizacji wtyczki do najnowszej wersji, aby zminimalizować potencjalne zagrożenia. To zalecenie jest szczególnie istotne, ponieważ Wordfence udaremnił już atak wymierzony w tę lukę w ciągu ostatnich 24 godzin.
Warto zauważyć, że nie jest to pierwszy przypadek, gdy wtyczka napotyka wyzwania związane z bezpieczeństwem. W lipcu 2023 r. cyberprzestępcy skutecznie wykorzystali kolejną lukę w tej samej wtyczce, zidentyfikowaną jako CVE-2023-3460. Luka ta, również posiadająca wynik CVSS na poziomie 9,8, była aktywnie wykorzystywana przez cyberprzestępców w celu ustanowienia nieautoryzowanych administratorów i przejęcia kontroli nad podatnymi stronami internetowymi.
Grupy cyberprzestępców często atakują WordPress
W ostatniej kampanii zaobserwowano zauważalny wzrost przypadków wykorzystywania zaatakowanych witryn WordPress do bezpośredniego wprowadzania programów drenujących kryptowaluty, takich jak Angel Drainer, lub przekierowywania odwiedzających do witryn phishingowych Web3 wyposażonych w narzędzia drenażowe.
Ataki te wykorzystują strategie phishingu i złośliwe wstrzykiwanie w celu wykorzystania zależności ekosystemu Web3 od bezpośrednich interakcji z portfelem, co stwarza poważne zagrożenie zarówno dla właścicieli witryn, jak i bezpieczeństwa zasobów użytkowników.
Tendencja ta wynika z identyfikacji nowej inicjatywy typu drenaż jako usługa (DaaS), znanej jako CG (CryptoGrab). CG prowadzi solidny program partnerski z ponad 10 000 członków, obejmującymi osoby posługujące się językiem rosyjskim, angielskim i chińskim. Warto zauważyć, że kanał Telegramu kontrolowany przez podmioty zagrażające kieruje potencjalnych atakujących do bota Telegramu, ułatwiając przeprowadzanie oszustw bez zewnętrznych zależności.
Możliwości tego bota obejmują bezpłatne uzyskanie domeny, powielenie istniejącego szablonu dla nowej domeny, określenie adresu portfela dla przekierowanych środków oraz zapewnienie ochrony Cloudflare dla nowo utworzonej domeny.
Ponadto grupa zagrożeń wykorzystuje dwa niestandardowe boty Telegramu o nazwach SiteCloner i CloudflarePage. SiteCloner duplikuje istniejące legalne strony internetowe, podczas gdy CloudflarePage dodaje ochronę Cloudflare. Te sklonowane strony są następnie rozpowszechniane głównie za pośrednictwem zhakowanych kont X (dawniej Twitter).