CVE-2024-1071 WordPress Plugin-sårbarhet
En oroande säkerhetsrisk har avslöjats i det flitigt använda WordPress-pluginet som kallas Ultimate Member, med över 200 000 aktiva installationer. Denna brist, identifierad som CVE-2024-1071 och tilldelad en CVSS-poäng på 9,8 av 10, uppdagades av säkerhetsforskaren Christiaan Swiers.
Enligt en rekommendation till användare finns sårbarheten i versionerna 2.1.3 till 2.8.2 av plugin-programmet och är associerat med SQL Injection genom parametern "sortering". Denna svaghet beror på otillräcklig att komma bort från det användarförsedda ramverket och en brist på tillräcklig förberedelse på den befintliga SQL-frågan. Följaktligen kan illvilliga aktörer utan autentisering utnyttja denna brist för att injicera kompletterande SQL-frågor i redan existerande sådana, vilket leder till extrahering av känslig data från databasen.
Det är viktigt att betona att det här problemet uteslutande påverkar användare som har aktiverat alternativet "Aktivera anpassad tabell för användarmeta" i plugininställningarna.
Användare bör uppdatera sina plugins så snart som möjligt
Efter det ansvarsfulla avslöjandet av den kritiska sårbarheten åtgärdade plugin-utvecklarna omedelbart problemet genom att släppa version 2.8.3 den 19 februari.
Användare rekommenderas starkt att påskynda uppdateringen av plugin-programmet till den senaste versionen för att minimera potentiella hot. Denna rekommendation är särskilt viktig eftersom Wordfence redan har förhindrat en attack som riktar sig mot sårbarheten inom de senaste 24 timmarna.
Noterbart är att detta inte är första gången pluginet har ställts inför säkerhetsutmaningar. I juli 2023 utnyttjade cyberbrottslingar framgångsrikt en annan svaghet i samma plugin, identifierad som CVE-2023-3460. Denna sårbarhet, som också har en CVSS-poäng på 9,8, missbrukades aktivt av hotaktörer för att etablera obehöriga administratörsanvändare och få kontroll över sårbara webbplatser.
Cyberkriminella grupper riktar sig ofta mot WordPress
En nyligen genomförd kampanj har sett en anmärkningsvärd ökning där komprometterade WordPress-webbplatser utnyttjas för att introducera kryptodrainer som Angel Drainer direkt eller omdirigera besökare till Web3-nätfiskewebbplatser med drainer.
Dessa attacker använder nätfiskestrategier och skadliga injektioner för att dra fördel av Web3-ekosystemets beroende av direkta plånboksinteraktioner, vilket utgör ett betydande hot mot både webbplatsägare och säkerheten för användartillgångar.
Denna trend följer identifieringen av ett nytt drainer-as-a-service-initiativ (DaaS) känt som CG (CryptoGrab). CG driver ett robust affiliateprogram med över 10 000 medlemmar, som omfattar ryska, engelska och kinesiska talare. Noterbart är att en Telegram-kanal som kontrolleras av hotaktörer guidar potentiella angripare till en Telegram-bot, vilket underlättar utförandet av bedrägerioperationer utan externa beroenden.
Möjligheterna hos denna bot inkluderar att skaffa en domän gratis, duplicera en befintlig mall för den nya domänen, ange plånboksadressen för omdirigerade medel och tillhandahålla Cloudflare-skydd för den nyskapade domänen.
Dessutom använder hotgruppen två anpassade Telegram-bots som heter SiteCloner och CloudflarePage. SiteCloner duplicerar befintliga legitima webbplatser, medan CloudflarePage lägger till Cloudflare-skydd. Dessa klonade sidor sprids sedan främst genom komprometterade X-konton (tidigare Twitter).