CVE-2024-1071 ช่องโหว่ปลั๊กอิน WordPress

ช่องโหว่ด้านความปลอดภัยที่น่าเป็นห่วงได้ถูกเปิดเผยในปลั๊กอิน WordPress ที่ใช้กันอย่างแพร่หลายซึ่งรู้จักกันในชื่อ Ultimate Member ซึ่งมีการติดตั้งที่ใช้งานอยู่มากกว่า 200,000 รายการ ข้อบกพร่องนี้ ซึ่งระบุว่าเป็น CVE-2024-1071 และให้คะแนน CVSS ที่ 9.8 จาก 10 ได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัย Christiaan Swiers

ตามคำแนะนำที่ออกให้กับผู้ใช้ ช่องโหว่นี้อยู่ในปลั๊กอินเวอร์ชัน 2.1.3 ถึง 2.8.2 และเชื่อมโยงกับ SQL Injection ผ่านพารามิเตอร์ 'sorting' จุดอ่อนนี้เกิดจากการหลีกหนีจากเฟรมเวิร์กที่ผู้ใช้จัดหาไม่เพียงพอ และขาดการเตรียมการที่เพียงพอสำหรับการสืบค้น SQL ที่มีอยู่ ผลที่ตามมา ผู้ประสงค์ร้ายที่ไม่มีการรับรองความถูกต้องอาจใช้ประโยชน์จากข้อบกพร่องนี้เพื่อแทรกคำสั่ง SQL เสริมลงในคำสั่งที่มีอยู่ก่อน ซึ่งนำไปสู่การแยกข้อมูลที่ละเอียดอ่อนออกจากฐานข้อมูล

สิ่งสำคัญคือต้องเน้นว่าปัญหานี้มีผลเฉพาะกับผู้ใช้ที่เปิดใช้งานตัวเลือก "เปิดใช้งานตารางที่กำหนดเองสำหรับ usermeta" ในการตั้งค่าปลั๊กอิน

ผู้ใช้ควรอัปเดตปลั๊กอินของตนโดยเร็วที่สุด

หลังจากการเปิดเผยช่องโหว่ที่สำคัญอย่างรับผิดชอบ นักพัฒนาปลั๊กอินได้แก้ไขปัญหานี้ทันทีด้วยการเปิดตัวเวอร์ชัน 2.8.3 ในวันที่ 19 กุมภาพันธ์

ขอแนะนำอย่างยิ่งให้ผู้ใช้เร่งการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดเพื่อลดภัยคุกคามที่อาจเกิดขึ้น คำแนะนำนี้มีความสำคัญอย่างยิ่งเนื่องจาก Wordfence ได้ขัดขวางการโจมตีที่มีเป้าหมายไปที่ช่องโหว่ภายใน 24 ชั่วโมงที่ผ่านมาแล้ว

นี่ไม่ใช่ครั้งแรกที่ปลั๊กอินเผชิญกับความท้าทายด้านความปลอดภัย ในเดือนกรกฎาคม 2023 อาชญากรไซเบอร์สามารถใช้ประโยชน์จากจุดอ่อนอื่นในปลั๊กอินเดียวกันซึ่งระบุเป็น CVE-2023-3460 ได้สำเร็จ ช่องโหว่นี้ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 เช่นกัน ถูกโจมตีอย่างแข็งขันโดยผู้คุกคามเพื่อสร้างผู้ใช้ที่เป็นผู้ดูแลระบบที่ไม่ได้รับอนุญาตและเข้าควบคุมเว็บไซต์ที่มีช่องโหว่

กลุ่มอาชญากรไซเบอร์มักกำหนดเป้าหมายไปที่ WordPress

แคมเปญล่าสุดได้เห็นการเพิ่มขึ้นอย่างเห็นได้ชัด โดยที่ไซต์ WordPress ที่ถูกบุกรุกถูกนำไปใช้เพื่อแนะนำตัวระบาย crypto เช่น Angel Drainer โดยตรง หรือเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ฟิชชิ่ง Web3 ที่มีตัวระบาย

การโจมตีเหล่านี้ใช้กลยุทธ์ฟิชชิ่งและการแทรกซึมที่เป็นอันตรายเพื่อใช้ประโยชน์จากระบบนิเวศ Web3 ที่พึ่งพาการโต้ตอบกับกระเป๋าเงินโดยตรง ก่อให้เกิดภัยคุกคามที่สำคัญต่อทั้งเจ้าของเว็บไซต์และความปลอดภัยของทรัพย์สินของผู้ใช้

แนวโน้มนี้เป็นไปตามการระบุโครงการริเริ่ม Drainer-as-a-service (DaaS) ใหม่ที่เรียกว่า CG (CryptoGrab) CG ดำเนินโครงการพันธมิตรที่แข็งแกร่งซึ่งมีสมาชิกมากกว่า 10,000 ราย ซึ่งครอบคลุมภาษารัสเซีย อังกฤษ และจีน โดยเฉพาะอย่างยิ่ง ช่องทาง Telegram ที่ควบคุมโดยผู้ก่อภัยคุกคามจะนำทางผู้โจมตีไปยังบอท Telegram ซึ่งอำนวยความสะดวกในการดำเนินการฉ้อโกงโดยไม่ต้องพึ่งพาจากภายนอก

ความสามารถของบอทนี้รวมถึงการรับโดเมนฟรี การทำซ้ำเทมเพลตที่มีอยู่สำหรับโดเมนใหม่ การระบุที่อยู่กระเป๋าเงินสำหรับเงินทุนที่ถูกเปลี่ยนเส้นทาง และการให้การป้องกัน Cloudflare สำหรับโดเมนที่สร้างขึ้นใหม่

นอกจากนี้ กลุ่มภัยคุกคามยังใช้บอท Telegram แบบกำหนดเองสองตัวชื่อ SiteCloner และ CloudflarePage SiteCloner ทำซ้ำเว็บไซต์ที่ถูกต้องตามกฎหมายที่มีอยู่ ในขณะที่ CloudflarePage เพิ่มการป้องกัน Cloudflare จากนั้นเพจที่ลอกแบบมาเหล่านี้จะถูกเผยแพร่ผ่านบัญชี X (เดิมคือ Twitter) ที่ถูกบุกรุกเป็นหลัก