Ein kritischer Sicherheitsfehler wurde in einem beliebten WordPress-Plugin namens Ultimate Member offenbart, das mehr als 200.000 aktive Installationen hat. Die Verwundbarkeit, unter der Bezeichnung CVE-2024-1071 verfolgt, hat einen CVSS-Score von 9,8 von maximal 10. Der Sicherheitsforscher Christiaan Swiers wird mit der Entdeckung und Meldung des Fehlers angeführt. Laut einem letzten Woche veröffentlichen Hinweis der WordPress-Sicherheitsfirma Wordfence ist das Plugin „in den Versionen 2.1.3 bis 2.8.2 anfällig für SQL-Injektion über den ’sorting‘-Parameter aufgrund mangelnder Escapen beim nutzerbereitgestellten Parameter und mangelnder Vorbereitung bei der vorhandenen SQL-Abfrage.“ Als Folge könnten nicht authentifizierte Angreifer den Fehler ausnutzen, um zusätzliche SQL-Abfragen in bereits vorhandene Abfragen einzufügen und sensible Daten aus der Datenbank zu extrahieren. Es ist wichtig zu beachten, dass das Problem nur Benutzer betrifft, die die Option „Benutzerdefinierte Tabelle für usermeta aktivieren“ in den Plugin-Einstellungen aktiviert haben.
Nach einer verantwortungsbewussten Offenlegung am 30. Januar 2024 wurde eine Lösung für den Fehler von den Plugin-Entwicklern veröffentlicht und mit der Veröffentlichung der Version 2.8.3 am 19. Februar verfügbar gemacht. Den Benutzern wird empfohlen, das Plugin so schnell wie möglich auf die neueste Version zu aktualisieren, um potenzielle Bedrohungen zu minimieren, besonders angesichts der Tatsache, dass Wordfence bereits einen Angriff blockiert hat, der in den letzten 24 Stunden versucht hat, den Fehler auszunutzen. Im Juli 2023 wurde eine weitere Lücke im gleichen Plugin (CVE-2023-3460, CVSS-Score: 9,8) aktiv von Bedrohungsakteuren ausgenutzt, um rogue-Admin-Benutzer zu erstellen und die Kontrolle über verwundbare Websites zu übernehmen.
Dies erfolgt vor dem Hintergrund einer Zunahme einer neuen Kampagne, die kompromittierte WordPress-Sites nutzt, um Kryptodrainer wie Angel Drainer direkt einzuspritzen oder Besucher auf Web3-Phishing-Sites umzuleiten, die Drainer enthalten. „Diese Angriffe nutzen Phishing-Taktiken und bösartige Injektionen aus, um das Web3-Ökosystem aufgrund der direkten Wallet-Interaktionen auszunutzen und stellen ein erhebliches Risiko sowohl für Website-Besitzer als auch für die Sicherheit von Benutzerassets dar“, sagte Sucuri-Forscher Denis Sinegubko. Es folgt auch der Entdeckung eines neuen Drainer-as-a-Service (DaaS)-Schemas namens CG (kurz für CryptoGrab), das ein 10.000-Mitglieder starkes Affiliate-Programm aus russischen, englischen und chinesischen Sprechern betreibt.
Eines der von Bedrohungsakteuren kontrollierten Telegramm-Kanäle „verweist Angreifer an einen Telegramm-Bot, der es ihnen ermöglicht, ihre Betrugsoperationen ohne Abhängigkeiten von Drittanbietern durchzuführen“, sagte Cyfirma in einem Bericht Ende letzten Monats. „Der Bot ermöglicht es einem Benutzer, eine Domain kostenlos zu erhalten, ein vorhandenes Template für die neue Domain zu klonen, die Wallet-Adresse festzulegen, an die die betrogenen Gelder gesendet werden sollen, und bietet auch Cloudflare-Schutz für diese neue Domain.“ Die Bedrohungsgruppe wurde auch dabei beobachtet, zwei benutzerdefinierte Telegramm-Bots namens SiteCloner und CloudflarePage zu verwenden, um eine vorhandene, legitime Website zu klonen und ihr Cloudflare-Schutz hinzuzufügen. Diese Seiten werden dann hauptsächlich unter Verwendung von kompromittierten X (ehemals Twitter)-Konten verbreitet.