27 февраля 2024 г.НовостиБезопасность сайта/криптоджекинг
Критическая уязвимость безопасности была обнаружена в популярном плагине WordPress под названием Ultimate Member, который имеет более 200 000 активных установок.
Уязвимость, отслеживаемая как CVE-2024-1071, имеет оценку CVSS 9,8 из максимальных 10. Исследователю безопасности Кристиаану Свирсу приписывают обнаружение и сообщение об уязвимости.
В рекомендации, опубликованной на прошлой неделе, компания Wordfence, занимающаяся безопасностью WordPress, заявила, что плагин «уязвим для SQL-инъекции через параметр сортировки в версиях с 2.1.3 по 2.8.2 из-за недостаточного экранирования параметра, предоставленного пользователем, и отсутствия достаточной подготовки к существующий SQL-запрос».
В результате злоумышленники, не прошедшие проверку подлинности, могут воспользоваться уязвимостью, чтобы добавить дополнительные SQL-запросы к уже существующим запросам и извлечь конфиденциальные данные из базы данных.
Стоит отметить, что проблема затрагивает только пользователей, которые отметили опцию «Включить пользовательскую таблицу для метаданных пользователя» в настройках плагина.
После ответственного раскрытия информации 30 января 2024 г. разработчики плагина предоставили исправление этой уязвимости с выпуском версии 2.8.3 19 февраля.
Пользователям рекомендуется как можно скорее обновить плагин до последней версии, чтобы минимизировать потенциальные угрозы, особенно в свете того, что Wordfence уже заблокировал одну атаку, пытавшуюся использовать уязвимость за последние 24 часа.
В июле 2023 года злоумышленники активно использовали еще один недостаток того же плагина (CVE-2023-3460, оценка CVSS: 9,8) для создания мошеннических пользователей-администраторов и захвата контроля над уязвимыми сайтами.
Разработка происходит на фоне всплеска новой кампании, которая использует скомпрометированные сайты WordPress для прямого внедрения крипто-сборщиков, таких как Angel Drainer, или перенаправления посетителей сайта на фишинговые сайты Web3, содержащие средства слива.
«Эти атаки используют тактику фишинга и вредоносные инъекции, чтобы использовать зависимость экосистемы Web3 от прямого взаимодействия с кошельками, что представляет значительный риск как для владельцев веб-сайтов, так и для безопасности пользовательских активов», — сказал исследователь Sucuri Денис Синегубко.
Это также последовало за открытием новой схемы «слив как услуга» (DaaS) под названием CG (сокращение от CryptoGrab), которая управляет партнерской программой, насчитывающей 10 000 участников, в том числе говорящих на русском, английском и китайском языках.
Один из каналов Telegram, контролируемых субъектами угроз, «отсылает злоумышленников к боту Telegram, который позволяет им выполнять свои мошеннические операции без каких-либо сторонних зависимостей», — говорится в отчете Cyfirma, опубликованном в конце прошлого месяца.
«Бот позволяет пользователю получить домен бесплатно, клонировать существующий шаблон для нового домена, установить адрес кошелька, на который должны быть отправлены мошеннические средства, а также обеспечивает защиту Cloudflare для этого нового домена».
Также было замечено, что группа угроз использовала двух специальных телеграмм-ботов под названием SiteCloner и CloudflarePage для клонирования существующего законного веб-сайта и добавления к нему защиты Cloudflare соответственно. Затем эти страницы распространяются в основном с использованием скомпрометированных учетных записей X (ранее Twitter).
Нашли эту статью интересной? Подпишитесь на нас в Твиттер и LinkedIn, чтобы читать более эксклюзивный контент, который мы публикуем.
2024-02-27 05:43:00
1709021857
#Оповещение #плагине #WordPress #критическая #уязвимость #SQLi #угрожает #более #чем #тысячам #вебсайтов