CVE-2024-1071 Уязвимость плагина WordPress

Тревожная уязвимость безопасности была обнаружена в широко используемом плагине WordPress, известном как Ultimate Member, который имеет более 200 000 активных установок. Эту уязвимость, идентифицированную как CVE-2024-1071 и получившую оценку CVSS 9,8 из 10, обнаружил исследователь безопасности Кристиан Свирс.

Согласно сообщению, выданному пользователям, уязвимость присутствует в версиях плагина с 2.1.3 по 2.8.2 и связана с SQL-инъекцией через параметр сортировки. Эта слабость связана с неадекватным уходом от пользовательской среды и недостаточной подготовкой существующего SQL-запроса. Следовательно, злоумышленники без аутентификации могут воспользоваться этой уязвимостью для внедрения дополнительных SQL-запросов в уже существующие, что приведет к извлечению конфиденциальных данных из базы данных.

Важно подчеркнуть, что эта проблема затрагивает исключительно пользователей, которые включили опцию «Включить пользовательскую таблицу для метаданных пользователя» в настройках плагина.

Пользователи должны обновить свои плагины как можно скорее

После ответственного раскрытия критической уязвимости разработчики плагина оперативно устранили проблему, выпустив версию 2.8.3 19 февраля.

Пользователям настоятельно рекомендуется ускорить обновление плагина до последней версии, чтобы минимизировать потенциальные угрозы. Эта рекомендация особенно важна, поскольку Wordfence уже предотвратил атаку, нацеленную на уязвимость, за последние 24 часа.

Примечательно, что это не первый раз, когда плагин сталкивается с проблемами безопасности. В июле 2023 года киберпреступники успешно воспользовались еще одной уязвимостью того же плагина, обозначенной как CVE-2023-3460. Эта уязвимость, также имеющая оценку CVSS 9,8, активно использовалась злоумышленниками для установления несанкционированных пользователей-администраторов и получения контроля над уязвимыми веб-сайтами.

Группы киберпреступников часто нацелены на WordPress

В ходе недавней кампании наблюдался заметный рост числа случаев, когда взломанные сайты WordPress используются для прямого внедрения крипто-сливов, таких как Angel Drainer, или перенаправления посетителей на фишинговые сайты Web3, в которых есть слива.

В этих атаках используются фишинговые стратегии и вредоносные инъекции, чтобы воспользоваться зависимостью экосистемы Web3 от прямого взаимодействия с кошельком, что представляет собой серьезную угрозу как для владельцев веб-сайтов, так и для безопасности пользовательских активов.

Эта тенденция последовала за появлением новой инициативы «слив как услуга» (DaaS), известной как CG (CryptoGrab). CG управляет мощной партнерской программой, насчитывающей более 10 000 участников, среди которых есть говорящие на русском, английском и китайском языках. Примечательно, что канал Telegram, контролируемый злоумышленниками, направляет потенциальных злоумышленников к боту Telegram, облегчая выполнение мошеннических операций без внешних зависимостей.

В возможности этого бота входит бесплатное получение домена, дублирование существующего шаблона для нового домена, указание адреса кошелька для перенаправления средств и обеспечение защиты Cloudflare для вновь созданного домена.

Кроме того, группа угроз использует двух специальных ботов Telegram под названием SiteCloner и CloudflarePage. SiteCloner дублирует существующие законные веб-сайты, а CloudflarePage добавляет защиту Cloudflare. Эти клонированные страницы затем распространяются в основном через взломанные учетные записи X (ранее Twitter).