Popüler bir WordPress eklentisinde kritik bir güvenlik açığı ortaya çıktı Nihai Üye 200.000’den fazla aktif kurulumu var.
CVE-2024-1071 olarak takip edilen güvenlik açığı, maksimum 10 üzerinden 9,8 CVSS puanına sahip. Güvenlik araştırmacısı Christiaan Swiers, kusuru keşfetme ve bildirme konusunda itibar kazandı.
Geçen hafta yayınlanan bir danışma belgesinde, WordPress güvenlik şirketi Wordfence söz konusu eklenti “kullanıcı tarafından sağlanan parametreden yetersiz kaçış ve mevcut SQL sorgusunda yeterli hazırlık eksikliği nedeniyle 2.1.3 ila 2.8.2 sürümlerindeki ‘sıralama’ parametresi yoluyla SQL Enjeksiyonuna karşı savunmasızdır.”
Sonuç olarak, kimliği doğrulanmamış saldırganlar, mevcut sorgulara ek SQL sorguları eklemek ve veritabanından hassas verileri çıkarmak için bu kusurdan yararlanabiliyor.
Sorunun yalnızca eklenti ayarlarında “Kullanıcı metası için özel tabloyu etkinleştir” seçeneğini işaretleyen kullanıcıları etkilediğini belirtmekte fayda var.
30 Ocak 2024’teki sorumlu açıklamanın ardından, 19 Şubat’ta 2.8.3 sürümünün yayınlanmasıyla birlikte eklenti geliştiricileri tarafından kusura yönelik bir düzeltme kullanıma sunuldu.
Kullanıcıların, özellikle Wordfence’in eklentileri göz önüne alındığında, olası tehditleri azaltmak için eklentiyi mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir. zaten bir saldırıyı engelledi Son 24 saat içinde bu kusurdan yararlanmaya çalışıyor.
Temmuz 2023’te, aynı eklentideki başka bir eksiklik (CVE-2023-3460, CVSS puanı: 9,8), sahte yönetici kullanıcılar oluşturmak ve savunmasız sitelerin kontrolünü ele geçirmek için tehdit aktörleri tarafından aktif olarak kullanıldı.
Bu gelişme, Angel Drainer gibi kripto emicileri doğrudan enjekte etmek veya site ziyaretçilerini aşağıdakileri içeren Web3 kimlik avı sitelerine yönlendirmek için ele geçirilmiş WordPress sitelerinden yararlanan yeni bir kampanyanın arttığı bir dönemde gerçekleşti. süzgeçler.
Sucuri araştırmacısı Denis Sinegubko, “Bu saldırılar, Web3 ekosisteminin doğrudan cüzdan etkileşimlerine bağımlılığından yararlanmak için kimlik avı taktiklerini ve kötü niyetli enjeksiyonları kullanıyor ve hem web sitesi sahipleri hem de kullanıcı varlıklarının güvenliği için önemli bir risk oluşturuyor.” söz konusu.
Bu aynı zamanda CG (kısacası) adı verilen yeni bir hizmet olarak filtreleyici (DaaS) şemasının keşfini de takip ediyor. CryptoGrab) Rusça, İngilizce ve Çince konuşanlardan oluşan 10.000 üyeli güçlü bir ortaklık programını yürütmektedir.
Cyfirma, aktör kontrolündeki Telegram kanallarındaki tehditlerden birinin “saldırganları, dolandırıcılık operasyonlarını herhangi bir üçüncü taraf bağımlılığı olmadan yürütmelerine olanak tanıyan bir telgraf botuna yönlendirdiğini” belirtti. söz konusu geçen ayın sonlarında bir raporda.
“Bot, kullanıcının ücretsiz olarak bir alan adı almasına, yeni alan adı için mevcut bir şablonu kopyalamasına, dolandırılan fonların gönderileceği cüzdan adresini belirlemesine ve ayrıca bu yeni alan adı için Cloudflare koruması sağlamasına olanak tanıyor.”
Tehdit grubunun ayrıca mevcut, meşru bir web sitesini klonlamak ve buna Cloudflare koruması eklemek için SiteCloner ve CloudflarePage adlı iki özel telgraf botunu kullandığı da gözlemlendi. Bu sayfalar daha sonra çoğunlukla güvenliği ihlal edilmiş X (eski adıyla Twitter) hesapları kullanılarak dağıtılır.