Kritična sigurnosna greška otkrivena je u popularnom WordPress dodatku pod nazivom Ultimate Member koji ima više od 200.000 aktivnih instalacija.
Ranjivost, praćena kao CVE-2024-1071, nosi CVSS ocjenu 9,8 od maksimalnih 10. Istraživač sigurnosti Christiaan Swiers je zaslužan za otkrivanje i prijavu greške.
U savjetu objavljenom prošle sedmice, WordPress sigurnosna kompanija Wordfence rekla je da je dodatak “ranjiv na SQL Injection preko parametra ‘sortiranje’ u verzijama od 2.1.3 do 2.8.2 zbog nedovoljnog izlaza na parametar koji je dostavio korisnik i nedostatka dovoljne pripreme na postojeći SQL upit.”
Kao rezultat toga, napadači bez autentifikacije mogli bi iskoristiti propust da dodaju dodatne SQL upite u već postojeće upite i izvuku osjetljive podatke iz baze podataka.
Vrijedi napomenuti da problem pogađa samo korisnike koji su označili opciju “Omogući prilagođenu tablicu za usermeta” u postavkama dodatka.
Nakon otkrivanja 30. januara 2024, programeri plugina su 19. februara stavili na raspolaganje ispravku za grešku sa izdanjem verzije 2.8.3.
Korisnicima se savjetuje da ažuriraju dodatak na najnoviju verziju što je prije moguće kako bi ublažili potencijalne prijetnje, posebno u svjetlu činjenice da je Wordfence već blokirao jedan napad koji pokušava iskoristiti nedostatak u posljednja 24 sata.
U julu 2023, još jedan nedostatak u istom dodatku (CVE-2023-3460, CVSS rezultat: 9,8) aktivno su iskoristili hakeri za stvaranje lažnih administratorskih korisnika i preuzimanje kontrole nad ranjivim stranicama.
Razvoj događaja dolazi usred porasta nove kampanje koja koristi kompromitovane WordPress stranice za direktno ubrizgavanje kripto drainers-a kao što je Angel Drainer ili preusmjeravanje posjetilaca stranice na Web3 phishing stranice koje sadrže drainers.
“Ovi napadi koriste taktiku phishinga i zlonamjerne injekcije kako bi se iskoristilo oslanjanje Web3 ekosistema na direktne interakcije novčanika, što predstavlja značajan rizik i za vlasnike web stranica i za sigurnost imovine korisnika”, rekao je istraživač Sucuri Denis Sinegubko.
Takođe prati otkriće nove šeme drainer-as-a-service (DaaS) nazvane CG (skraćeno od CryptoGrab) koja pokreće pridruženi program od 10.000 članova koji se sastoji od govornika ruskog, engleskog i kineskog jezika.
Jedna od prijetnji na Telegram kanalima koje kontrolišu hakeri “napadače upućuju na telegram bot koji im omogućava da vode svoje operacije prevare bez ikakvih zavisnosti o trećim stranama”, rekao je Cyfirma u izvještaju krajem prošlog mjeseca.
“Bot omogućava korisniku da besplatno dobije domenu, klonira postojeći šablon za novu domenu, postavi adresu novčanika na koju bi prevarena sredstva trebala biti poslana, a također pruža Cloudflare zaštitu za tu novu domenu.”
Grupa hakera je takođe primijećena korištenjem dva prilagođena telegram bota pod nazivom SiteCloner i CloudflarePage da kloniraju postojeću, legitimnu web stranicu i dodaju joj Cloudflare zaštitu. Ove stranice se zatim distribuišu uglavnom koristeći kompromitovane X (bivši Twitter) naloge.
Izvor: The Hacker News