ЦВЕ-2024-1071 Рањивост ВордПресс додатка

Забрињавајућа безбедносна рањивост откривена је у широко распрострањеном ВордПресс додатку познатом као Ултимате Мембер, који се може похвалити преко 200.000 активних инсталација. Ову грешку, идентификовану као ЦВЕ-2024-1071 и додељену оцену ЦВСС од 9,8 од 10, открио је истраживач безбедности Кристијан Свиерс.

Према упозорењу које је издато корисницима, рањивост се налази у верзијама 2.1.3 до 2.8.2 додатка и повезана је са СКЛ ињекцијом преко параметра 'сортирање'. Ова слабост произилази из неадекватног удаљавања од оквира који је обезбедио корисник и недостатка довољне припреме за постојећи СКЛ упит. Сходно томе, злонамерни актери без аутентификације могли би да искористе ову грешку да убаце додатне СКЛ упите у већ постојеће, што би довело до екстракције осетљивих података из базе података.

Важно је нагласити да овај проблем утиче искључиво на кориснике који су омогућили опцију „Омогући прилагођену табелу за усермета“ у подешавањима додатка.

Корисници би требало да ажурирају своје додатке што је пре могуће

Након одговорног откривања критичне рањивости, програмери додатака су одмах решили проблем издавањем верзије 2.8.3 19. фебруара.

Корисницима се препоручује да убрзају ажурирање додатка на најновију верзију како би свели потенцијалне претње на минимум. Ова препорука је посебно кључна јер је Вордфенце већ осујетио напад који је циљао на рањивост у последња 24 сата.

Посебно, ово није први пут да се додатак суочава са безбедносним изазовима. У јулу 2023. сајбер криминалци су успешно искористили још једну слабост у истом додатку, идентификовану као ЦВЕ-2023-3460. Ову рањивост, која такође има ЦВСС оцену 9,8, активно су злоупотребљавали актери претњи да би успоставили неовлашћене администраторске кориснике и добили контролу над рањивим веб локацијама.

Групе сајбер криминалаца често циљају ВордПресс

У недавној кампањи дошло је до значајног пораста где се компромитоване ВордПресс веб локације експлоатишу за увођење крипто драинерс-а као што је Ангел Драинер директно или преусмеравање посетилаца на Веб3 пхисхинг локације које садрже драинерс.

Ови напади користе пхисхинг стратегије и злонамерне ињекције како би искористили предности ослањања Веб3 екосистема на директне интеракције новчаника, што представља значајну претњу и за власнике веб локација и за безбедност имовине корисника.

Овај тренд прати идентификацију нове иницијативе драинер-ас-а-сервице (ДааС) познате као ЦГ (ЦриптоГраб). ЦГ има снажан партнерски програм са преко 10.000 чланова, који обухватају говорнике руског, енглеског и кинеског језика. Значајно је да Телеграм канал који контролишу актери претњи води потенцијалне нападаче до Телеграм бота, олакшавајући извршење операција преваре без спољних зависности.

Могућности овог бота укључују бесплатно добијање домена, дуплирање постојећег шаблона за нови домен, одређивање адресе новчаника за преусмерена средства и обезбеђивање Цлоудфларе заштите за новокреирани домен.

Штавише, група претњи користи два прилагођена Телеграм бота под називом СитеЦлонер и ЦлоудфлареПаге. СитеЦлонер дуплира постојеће легитимне веб локације, док ЦлоудфлареПаге додаје Цлоудфларе заштиту. Ове клониране странице се затим дистрибуирају првенствено преко компромитованих Кс (раније Твитер) налога.