Обнаружен критический недостаток безопасности в популярном плагине WordPress под названием Ultimate Member, который имеет более 200 000 активных установок.
Уязвимость, отслеживаемая как CVE-2024-1071, имеет оценку CVSS 9,8 из 10 возможных. Исследователю безопасности Кристиану Свирсу приписывают обнаружение уязвимости и сообщение о ней.
В рекомендации, опубликованной на прошлой неделе, компания по безопасности WordPress Wordfence заявила, что плагин "уязвим для SQL-инъекции через параметр 'sorting' в версиях 2.1.3 - 2.8.2 из-за недостаточного экранирования пользовательского параметра и недостаточной подготовки существующего SQL-запроса".
В результате злоумышленники, не прошедшие проверку подлинности, могут воспользоваться этой ошибкой, чтобы добавлять дополнительные SQL-запросы к уже существующим запросам и извлекать конфиденциальные данные из базы данных.
Стоит отметить, что проблема затрагивает только пользователей, которые установили флажок "Включить пользовательскую таблицу для usermeta" в настройках плагина.
После ответственного раскрытия 30 января 2024 года разработчики плагина сделали доступным исправление ошибки с выпуском версии 2.8.3 19 февраля.
Пользователям рекомендуется как можно скорее обновить плагин до последней версии, чтобы снизить потенциальные угрозы, особенно в свете того факта, что Wordfence уже заблокировала одну атаку, пытавшуюся использовать уязвимость за последние 24 часа.
В июле 2023 года другой недостаток того же плагина (CVE-2023-3460, оценка CVSS: 9,8) был активно использован злоумышленниками для создания пользователей-администраторов-изгоев и захвата контроля над уязвимыми сайтами.
Разработка происходит на фоне всплеска новой кампании, которая использует скомпрометированные сайты WordPress для прямого внедрения криптодрайверов, таких как Angel Drainer, или перенаправления посетителей сайта на фишинговые сайты Web3, содержащие дрейнеры.
"Эти атаки используют тактику фишинга и вредоносные инъекции, чтобы использовать зависимость экосистемы Web3 от прямых взаимодействий с кошельками, представляя значительный риск как для владельцев веб-сайтов, так и для безопасности активов пользователей", - сказал исследователь Sucuri Денис Синегубко.
Это также следует за открытием новой схемы "Слив как услуга" (DaaS) под названием CG (сокращение от CryptoGrab), которая управляет партнерской программой с 10 000 участниками, состоящей из русскоязычных, англоязычных и китайскоязычных пользователей.
Один из каналов Telegram, контролируемых участниками угроз, "отсылает злоумышленников к telegram-боту, который позволяет им проводить свои мошеннические операции без каких-либо сторонних зависимостей", - сказала Cyfirma в отчете в конце прошлого месяца.
"Бот позволяет пользователю получить домен бесплатно, клонировать существующий шаблон для нового домена, установить адрес кошелька, на который предполагается отправлять мошеннические средства, а также обеспечивает защиту Cloudflare для этого нового домена".
Также было замечено, что группа угроз использует двух пользовательских ботов telegram под названием SiteCloner и CloudflarePage для клонирования существующего легитимного веб-сайта и добавления к нему защиты Cloudflare соответственно. Затем эти страницы распространяются в основном с использованием скомпрометированных аккаунтов X (ранее Twitter).
Уязвимость, отслеживаемая как CVE-2024-1071, имеет оценку CVSS 9,8 из 10 возможных. Исследователю безопасности Кристиану Свирсу приписывают обнаружение уязвимости и сообщение о ней.
В рекомендации, опубликованной на прошлой неделе, компания по безопасности WordPress Wordfence заявила, что плагин "уязвим для SQL-инъекции через параметр 'sorting' в версиях 2.1.3 - 2.8.2 из-за недостаточного экранирования пользовательского параметра и недостаточной подготовки существующего SQL-запроса".
В результате злоумышленники, не прошедшие проверку подлинности, могут воспользоваться этой ошибкой, чтобы добавлять дополнительные SQL-запросы к уже существующим запросам и извлекать конфиденциальные данные из базы данных.
Стоит отметить, что проблема затрагивает только пользователей, которые установили флажок "Включить пользовательскую таблицу для usermeta" в настройках плагина.
После ответственного раскрытия 30 января 2024 года разработчики плагина сделали доступным исправление ошибки с выпуском версии 2.8.3 19 февраля.
Пользователям рекомендуется как можно скорее обновить плагин до последней версии, чтобы снизить потенциальные угрозы, особенно в свете того факта, что Wordfence уже заблокировала одну атаку, пытавшуюся использовать уязвимость за последние 24 часа.
В июле 2023 года другой недостаток того же плагина (CVE-2023-3460, оценка CVSS: 9,8) был активно использован злоумышленниками для создания пользователей-администраторов-изгоев и захвата контроля над уязвимыми сайтами.
Разработка происходит на фоне всплеска новой кампании, которая использует скомпрометированные сайты WordPress для прямого внедрения криптодрайверов, таких как Angel Drainer, или перенаправления посетителей сайта на фишинговые сайты Web3, содержащие дрейнеры.
"Эти атаки используют тактику фишинга и вредоносные инъекции, чтобы использовать зависимость экосистемы Web3 от прямых взаимодействий с кошельками, представляя значительный риск как для владельцев веб-сайтов, так и для безопасности активов пользователей", - сказал исследователь Sucuri Денис Синегубко.
Это также следует за открытием новой схемы "Слив как услуга" (DaaS) под названием CG (сокращение от CryptoGrab), которая управляет партнерской программой с 10 000 участниками, состоящей из русскоязычных, англоязычных и китайскоязычных пользователей.
Один из каналов Telegram, контролируемых участниками угроз, "отсылает злоумышленников к telegram-боту, который позволяет им проводить свои мошеннические операции без каких-либо сторонних зависимостей", - сказала Cyfirma в отчете в конце прошлого месяца.
"Бот позволяет пользователю получить домен бесплатно, клонировать существующий шаблон для нового домена, установить адрес кошелька, на который предполагается отправлять мошеннические средства, а также обеспечивает защиту Cloudflare для этого нового домена".
Также было замечено, что группа угроз использует двух пользовательских ботов telegram под названием SiteCloner и CloudflarePage для клонирования существующего легитимного веб-сайта и добавления к нему защиты Cloudflare соответственно. Затем эти страницы распространяются в основном с использованием скомпрометированных аккаунтов X (ранее Twitter).
