Vulnerabilidade do plug-in WordPress CVE-2024-1071

Uma vulnerabilidade de segurança preocupante foi exposta no plugin WordPress amplamente utilizado conhecido como Ultimate Member, ostentando mais de 200.000 instalações ativas. Essa falha, identificada como CVE-2024-1071 e com pontuação CVSS de 9,8 em 10, foi revelada pelo pesquisador de segurança Christiaan Swiers.

De acordo com um comunicado emitido aos usuários, a vulnerabilidade reside nas versões 2.1.3 a 2.8.2 do plugin e está associada ao SQL Injection através do parâmetro ‘sorting’. Essa fraqueza decorre do afastamento inadequado da estrutura fornecida pelo usuário e da falta de preparação suficiente na consulta SQL existente. Consequentemente, agentes maliciosos sem autenticação poderiam explorar esta falha para injetar consultas SQL suplementares em consultas pré-existentes, levando à extração de dados confidenciais do banco de dados.

É importante destacar que este problema afeta exclusivamente os usuários que ativaram a opção ‘Ativar tabela personalizada para usermeta’ nas configurações do plugin.

Os usuários devem atualizar seus plug-ins o mais rápido possível

Após a divulgação responsável da vulnerabilidade crítica, os desenvolvedores do plugin resolveram prontamente o problema lançando a versão 2.8.3 em 19 de fevereiro.

Os usuários são fortemente aconselhados a agilizar a atualização do plugin para a versão mais recente para minimizar ameaças potenciais. Esta recomendação é particularmente crucial porque o Wordfence já frustrou um ataque direcionado à vulnerabilidade nas últimas 24 horas.

Notavelmente, esta não é a primeira vez que o plugin enfrenta desafios de segurança. Em julho de 2023, os cibercriminosos exploraram com sucesso outra fraqueza do mesmo plugin, identificada como CVE-2023-3460. Esta vulnerabilidade, também com uma pontuação CVSS de 9,8, foi ativamente abusada por agentes de ameaças para estabelecer usuários administradores não autorizados e obter controle de sites vulneráveis.

Grupos de cibercriminosos costumam ter como alvo o WordPress

Uma campanha recente teve um aumento notável onde sites WordPress comprometidos são explorados para introduzir drenadores de criptografia como o Angel Drainer diretamente ou redirecionar visitantes para sites de phishing Web3 com drenadores.

Esses ataques empregam estratégias de phishing e injeções maliciosas para aproveitar a dependência do ecossistema Web3 de interações diretas com carteiras, representando uma ameaça significativa tanto para os proprietários de sites quanto para a segurança dos ativos dos usuários.

Esta tendência segue a identificação de uma nova iniciativa de drenagem como serviço (DaaS) conhecida como CG (CryptoGrab). CG opera um programa de afiliados robusto com mais de 10.000 membros, abrangendo falantes de russo, inglês e chinês. Notavelmente, um canal do Telegram controlado por agentes de ameaças orienta potenciais invasores para um bot do Telegram, facilitando a execução de operações fraudulentas sem dependências externas.

Os recursos deste bot incluem a obtenção de um domínio gratuitamente, a duplicação de um modelo existente para o novo domínio, a especificação do endereço da carteira para fundos redirecionados e o fornecimento de proteção Cloudflare para o domínio recém-criado.

Além disso, o grupo de ameaças emprega dois bots personalizados do Telegram chamados SiteCloner e CloudflarePage. SiteCloner duplica sites legítimos existentes, enquanto CloudflarePage adiciona proteção Cloudflare. Essas páginas clonadas são então disseminadas principalmente por meio de contas X comprometidas (antigo Twitter).