CVE-2024-1071 Dobësia e shtojcave të WordPress
Një dobësi shqetësuese sigurie është ekspozuar në shtojcën e përdorur gjerësisht të WordPress të njohur si Anëtari Ultimate, me mbi 200,000 instalime aktive. Ky defekt, i identifikuar si CVE-2024-1071 dhe i caktuar një rezultat CVSS prej 9.8 nga 10, u zbulua nga studiuesi i sigurisë Christiaan Swiers.
Sipas një këshillimi të lëshuar për përdoruesit, cenueshmëria qëndron në versionet 2.1.3 deri në 2.8.2 të shtojcës dhe shoqërohet me SQL Injection përmes parametrit 'sorting'. Kjo dobësi rrjedh nga largimi joadekuat nga kuadri i ofruar nga përdoruesi dhe mungesa e përgatitjes së mjaftueshme për pyetjen ekzistuese SQL. Rrjedhimisht, aktorët me qëllim të keq pa vërtetim mund të shfrytëzojnë këtë të metë për të injektuar pyetje shtesë SQL në ato para-ekzistuese, duke çuar në nxjerrjen e të dhënave të ndjeshme nga baza e të dhënave.
Është e rëndësishme të theksohet se kjo çështje prek ekskluzivisht përdoruesit që kanë aktivizuar opsionin "Aktivizo tabelën e personalizuar për meta të përdoruesit" në cilësimet e shtojcave.
Përdoruesit duhet të përditësojnë shtojcat e tyre sa më shpejt të jetë e mundur
Pas zbulimit të përgjegjshëm të cenueshmërisë kritike, zhvilluesit e shtojcave e trajtuan menjëherë këtë çështje duke lëshuar versionin 2.8.3 më 19 shkurt.
Përdoruesit këshillohen fuqimisht të përshpejtojnë përditësimin e shtojcës në versionin më të fundit për të minimizuar kërcënimet e mundshme. Ky rekomandim është veçanërisht i rëndësishëm pasi Wordfence tashmë ka penguar një sulm që synon cenueshmërinë brenda 24 orëve të fundit.
Veçanërisht, kjo nuk është hera e parë që shtojca përballet me sfida sigurie. Në korrik 2023, kriminelët kibernetikë shfrytëzuan me sukses një tjetër dobësi në të njëjtën shtojcë, të identifikuar si CVE-2023-3460. Kjo dobësi, e cila gjithashtu mban një rezultat CVSS prej 9.8, u abuzua në mënyrë aktive nga aktorët e kërcënimit për të krijuar përdorues të paautorizuar të administratorëve dhe për të fituar kontrollin e faqeve të internetit të cenueshme.
Grupet e kriminelëve kibernetikë shpesh synojnë WordPress
Një fushatë e kohëve të fundit ka parë një rritje të dukshme ku faqet e komprometuara të WordPress janë shfrytëzuar për të futur drenues kriptoash si Angel Drainer drejtpërdrejt ose për të ridrejtuar vizitorët në faqet e phishing Web3 që përmbajnë kullues.
Këto sulme përdorin strategji phishing dhe injeksione me qëllim të keq për të përfituar nga mbështetja e ekosistemit Web3 në ndërveprimet e drejtpërdrejta të portofolit, duke paraqitur një kërcënim të rëndësishëm si për pronarët e faqeve të internetit ashtu edhe për sigurinë e aseteve të përdoruesve.
Ky trend ndjek identifikimin e një nisme të re drainer-as-a-service (DaaS) të njohur si CG (CryptoGrab). CG operon një program të fuqishëm shoqërues me mbi 10,000 anëtarë, duke përfshirë folësit rusë, anglisht dhe kinezë. Veçanërisht, një kanal Telegram i kontrolluar nga aktorë kërcënimi i drejton sulmuesit e mundshëm drejt një bot Telegram, duke lehtësuar ekzekutimin e operacioneve të mashtrimit pa varësi të jashtme.
Aftësitë e këtij roboti përfshijnë marrjen e një domeni falas, dublimin e një modeli ekzistues për domenin e ri, specifikimin e adresës së portofolit për fondet e ridrejtuara dhe sigurimin e mbrojtjes së Cloudflare për domenin e krijuar rishtazi.
Për më tepër, grupi i kërcënimit përdor dy robotë të personalizuar të Telegramit të quajtur SiteCloner dhe CloudflarePage. SiteCloner kopjon faqet e internetit ekzistuese legjitime, ndërsa CloudflarePage shton mbrojtjen e Cloudflare. Këto faqe të klonuara më pas shpërndahen kryesisht përmes llogarive të komprometuara X (dikur Twitter).