Une faille de sécurité critique a été révélée dans un plugin WordPress populaire appelé Membre ultime qui compte plus de 200 000 installations actives.
La vulnérabilité, identifiée comme CVE-2024-1071, a un score CVSS de 9,8 sur un maximum de 10. Le chercheur en sécurité Christiaan Swiers a été reconnu pour avoir découvert et signalé la faille.
Dans un avis publié la semaine dernière, la société de sécurité WordPress Wordfence dit le plugin est « vulnérable à l’injection SQL via le paramètre ‘sorting’ dans les versions 2.1.3 à 2.8.2 en raison d’un échappement insuffisant sur le paramètre fourni par l’utilisateur et d’un manque de préparation suffisante sur la requête SQL existante. »
En conséquence, des attaquants non authentifiés pourraient profiter de cette faille pour ajouter des requêtes SQL supplémentaires à des requêtes déjà existantes et extraire des données sensibles de la base de données.
Il convient de noter que le problème n’affecte que les utilisateurs qui ont coché l’option « Activer la table personnalisée pour usermeta » dans les paramètres du plugin.
Suite à une divulgation responsable le 30 janvier 2024, un correctif pour la faille a été mis à disposition par les développeurs du plugin avec la sortie de la version 2.8.3 le 19 février.
Il est conseillé aux utilisateurs de mettre à jour le plugin vers la dernière version dès que possible pour atténuer les menaces potentielles, surtout à la lumière du fait que Wordfence a déjà bloqué une attaque tentative d’exploitation de la faille au cours des dernières 24 heures.
En juillet 2023, une autre lacune du même plugin (CVE-2023-3460, score CVSS : 9,8) a été activement exploitée par des acteurs malveillants pour créer des utilisateurs administrateurs malveillants et prendre le contrôle de sites vulnérables.
Ce développement intervient au milieu d’une nouvelle campagne qui exploite les sites WordPress compromis pour injecter directement des draineurs de crypto tels que Angel Drainer ou rediriger les visiteurs du site vers des sites de phishing Web3 contenant égouttoirs.
« Ces attaques exploitent des tactiques de phishing et des injections malveillantes pour exploiter la dépendance de l’écosystème Web3 aux interactions directes des portefeuilles, présentant un risque important à la fois pour les propriétaires de sites Web et pour la sécurité des actifs des utilisateurs », Denis Sinegubko, chercheur à Sucuri. dit.
Cela fait également suite à la découverte d’un nouveau système de drainer-as-a-service (DaaS) appelé CG (abréviation de CryptoGrab) qui gère un programme d’affiliation de 10 000 membres comprenant des locuteurs russes, anglais et chinois.
L’une des chaînes Telegram contrôlées par les acteurs de la menace « renvoie les attaquants à un robot Telegram qui leur permet de mener leurs opérations frauduleuses sans aucune dépendance envers des tiers », Cyfirma dit dans un rapport à la fin du mois dernier.
« Le bot permet à un utilisateur d’obtenir un domaine gratuitement, de cloner un modèle existant pour le nouveau domaine, de définir l’adresse du portefeuille où les fonds frauduleux sont censés être envoyés et fournit également une protection Cloudflare pour ce nouveau domaine. »
Le groupe de menaces a également été observé en train d’utiliser deux robots de télégramme personnalisés appelés SiteCloner et CloudflarePage pour cloner un site Web légitime existant et y ajouter une protection Cloudflare, respectivement. Ces pages sont ensuite distribuées principalement à l’aide de comptes X (anciennement Twitter) compromis.