CVE-2024-1071 Chyba zabezpečenia doplnku WordPress
V široko používanom doplnku WordPress známom ako Ultimate Member bola odhalená znepokojujúca bezpečnostná chyba, ktorá sa môže pochváliť viac ako 200 000 aktívnymi inštaláciami. Túto chybu, identifikovanú ako CVE-2024-1071 a priradenú CVSS skóre 9,8 z 10, odhalil bezpečnostný výskumník Christiaan Swiers.
Podľa upozornenia vydaného používateľom sa zraniteľnosť nachádza vo verziách doplnku 2.1.3 až 2.8.2 a je spojená s SQL Injection prostredníctvom parametra „triedenie“. Táto slabosť pramení z nedostatočného vymanenia sa z rámca dodaného používateľom a nedostatočnej prípravy na existujúci SQL dotaz. V dôsledku toho by útočníci bez overenia mohli túto chybu zneužiť na vloženie dodatočných SQL dotazov do už existujúcich, čo by viedlo k extrakcii citlivých údajov z databázy.
Je dôležité zdôrazniť, že tento problém sa týka výlučne používateľov, ktorí v nastaveniach doplnku povolili možnosť „Povoliť vlastnú tabuľku pre používateľské rozhranie“.
Používatelia by mali aktualizovať svoje doplnky čo najskôr
Po zodpovednom odhalení kritickej zraniteľnosti vývojári doplnku problém rýchlo vyriešili vydaním verzie 2.8.3 19. februára.
Používateľom sa dôrazne odporúča urýchliť aktualizáciu doplnku na najnovšiu verziu, aby sa minimalizovali potenciálne hrozby. Toto odporúčanie je obzvlášť dôležité, pretože Wordfence už za posledných 24 hodín zmaril útok zameraný na zraniteľnosť.
Je pozoruhodné, že to nie je prvýkrát, čo doplnok čelil bezpečnostným problémom. V júli 2023 počítačoví zločinci úspešne využili ďalšiu slabinu v tom istom doplnku označenú ako CVE-2023-3460. Túto zraniteľnosť, ktorá má tiež skóre CVSS 9,8, aktívne zneužili aktéri hrozieb na vytvorenie neoprávnených správcovských používateľov a získanie kontroly nad zraniteľnými webovými stránkami.
Skupiny kyberzločincov sa často zameriavajú na WordPress
Nedávna kampaň zaznamenala výrazný nárast, keď sa napadnuté stránky WordPress využívajú na priame uvedenie kryptografických odkvapkávačov, ako je Angel Drainer, alebo na presmerovanie návštevníkov na phishingové weby Web3 s odčerpávačmi.
Tieto útoky využívajú phishingové stratégie a škodlivé injekcie, aby využili závislosť ekosystému Web3 na priamej interakcii s peňaženkou, čo predstavuje významnú hrozbu pre vlastníkov webových stránok aj pre bezpečnosť používateľských aktív.
Tento trend nasleduje po identifikácii novej iniciatívy typu drainer-as-a-service (DaaS) známej ako CG (CryptoGrab). CG prevádzkuje robustný pridružený program s viac ako 10 000 členmi, ktorý zahŕňa rusky, anglicky a čínsky hovoriacich ľudí. Predovšetkým telegramový kanál ovládaný aktérmi hrozby navádza potenciálnych útočníkov na telegramového robota, čím uľahčuje vykonávanie podvodných operácií bez vonkajších závislostí.
Možnosti tohto robota zahŕňajú získanie domény zadarmo, duplikovanie existujúcej šablóny pre novú doménu, špecifikovanie adresy peňaženky pre presmerované prostriedky a poskytovanie ochrany Cloudflare pre novovytvorenú doménu.
Okrem toho skupina hrozieb využíva dvoch vlastných telegramových robotov s názvom SiteCloner a CloudflarePage. SiteCloner duplikuje existujúce legitímne webové stránky, zatiaľ čo CloudflarePage pridáva ochranu Cloudflare. Tieto naklonované stránky sa potom šíria predovšetkým prostredníctvom napadnutých X (predtým Twitter) účtov.