Lỗ hổng plugin WordPress CVE-2024-1071
Một lỗ hổng bảo mật đáng lo ngại đã bị phát hiện trong plugin WordPress được sử dụng rộng rãi có tên Ultimate Member, với hơn 200.000 lượt cài đặt đang hoạt động. Lỗ hổng này, được xác định là CVE-2024-1071 và có điểm CVSS là 9,8/10, đã được nhà nghiên cứu bảo mật Christiaan Swiers đưa ra ánh sáng.
Theo lời khuyên được đưa ra cho người dùng, lỗ hổng này nằm trong các phiên bản 2.1.3 đến 2.8.2 của plugin và được liên kết với SQL Insert thông qua tham số 'sắp xếp'. Điểm yếu này bắt nguồn từ việc không thể thoát khỏi khung do người dùng cung cấp một cách đầy đủ và thiếu sự chuẩn bị đầy đủ cho truy vấn SQL hiện có. Do đó, những kẻ độc hại không có xác thực có thể khai thác lỗ hổng này để đưa các truy vấn SQL bổ sung vào các truy vấn có sẵn, dẫn đến việc trích xuất dữ liệu nhạy cảm từ cơ sở dữ liệu.
Điều quan trọng cần nhấn mạnh là sự cố này chỉ ảnh hưởng đến những người dùng đã bật tùy chọn 'Bật bảng tùy chỉnh cho usermeta' trong cài đặt plugin.
Người dùng nên cập nhật plugin của họ càng sớm càng tốt
Sau khi tiết lộ lỗ hổng nghiêm trọng một cách có trách nhiệm, các nhà phát triển plugin đã nhanh chóng giải quyết vấn đề bằng cách phát hành phiên bản 2.8.3 vào ngày 19 tháng 2.
Người dùng được khuyến khích khẩn trương cập nhật plugin lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn. Khuyến nghị này đặc biệt quan trọng vì Wordfence đã ngăn chặn một cuộc tấn công nhắm vào lỗ hổng trong vòng 24 giờ qua.
Đáng chú ý, đây không phải là lần đầu tiên plugin này gặp phải thách thức về bảo mật. Vào tháng 7 năm 2023, tội phạm mạng đã khai thác thành công một điểm yếu khác trong cùng một plugin, được xác định là CVE-2023-3460. Lỗ hổng này, cũng có điểm CVSS là 9,8, đã bị các tác nhân đe dọa tích cực lạm dụng để thiết lập người dùng quản trị trái phép và giành quyền kiểm soát các trang web dễ bị tấn công.
Các nhóm tội phạm mạng thường nhắm mục tiêu vào WordPress
Một chiến dịch gần đây đã chứng kiến sự gia tăng đáng chú ý trong đó các trang web WordPress bị xâm nhập bị khai thác để giới thiệu trực tiếp các công cụ rút tiền điện tử như Angel Drainer hoặc chuyển hướng khách truy cập đến các trang web lừa đảo Web3 có các công cụ rút tiền.
Các cuộc tấn công này sử dụng các chiến lược lừa đảo và tiêm độc hại để lợi dụng sự phụ thuộc của hệ sinh thái Web3 vào các tương tác ví trực tiếp, gây ra mối đe dọa đáng kể cho cả chủ sở hữu trang web và tính bảo mật của tài sản người dùng.
Xu hướng này diễn ra sau việc xác định sáng kiến thoát nước dưới dạng dịch vụ (DaaS) mới được gọi là CG (CryptoGrab). CG vận hành một chương trình liên kết mạnh mẽ với hơn 10.000 thành viên, bao gồm những người nói tiếng Nga, tiếng Anh và tiếng Trung. Đáng chú ý, kênh Telegram do các tác nhân đe dọa kiểm soát sẽ hướng dẫn những kẻ tấn công tiềm năng đến bot Telegram, tạo điều kiện thuận lợi cho việc thực hiện các hoạt động lừa đảo mà không cần phụ thuộc vào bên ngoài.
Các khả năng của bot này bao gồm lấy tên miền miễn phí, sao chép mẫu hiện có cho tên miền mới, chỉ định địa chỉ ví cho tiền được chuyển hướng và cung cấp bảo vệ Cloudflare cho tên miền mới được tạo.
Hơn nữa, nhóm đe dọa sử dụng hai bot Telegram tùy chỉnh có tên SiteCloner và CloudflarePage. SiteCloner sao chép các trang web hợp pháp hiện có, trong khi CloudflarePage bổ sung tính năng bảo vệ Cloudflare. Các trang nhân bản này sau đó được phổ biến chủ yếu thông qua các tài khoản X (trước đây là Twitter) bị xâm nhập.