یک نقص امنیتی مهم در یک پلاگین محبوب وردپرس (WordPress ) به نام Ultimate Member که بیش از ۲۰۰,۰۰۰ نصب فعال دارد، فاش شده است. این آسیبپذیری بحرانی که با شناسه CVE-2024-1071 دنبال میشود، دارای امتیاز CVSS 9.8 است. محقق امنیتی کریستیان سویرز موفق به کشف و گزارش این نقص شده است.
Wordfence شرکت امنیتی وردپرس طی گزارشی در بیست و سوم فوریه2024 اعلام کرد که این افزونه به دلیل عدم دسترسی کافی از پارامتر ارائه شده توسط کاربر و عدم آماده سازی کافی در کوئری SQL موجود، در برابر SQL Injection از طریق پارامتر “مرتب سازی یا sorting ” در نسخه های 2.1.3 تا 2.8.2 آسیب پذیر میباشد.
مهاجمان احراز هویت نشده میتوانند از این نقص برای افزودن کوئری های SQL اضافی به کوئری های موجود و استخراج دادههای حساس از پایگاه داده سوء استفاده کنند.
شایان ذکر است که این مسئله تنها کاربرانی را تحت تاثیر قرار می دهد که در تنظیمات افزونه، گزینه “Enable custom table for usermeta” را فعال کرده باشند.
پس از افشای مسئولانه این نقص در سیاُم ژانویه 2024، رفع نقص توسط توسعه دهندگان افزونه با انتشار نسخه 2.8.3 در نوزدهم فوریه در دسترس قرار گرفت. به کاربران توصیه میشود به منظور کاهش تهدیدات احتمالی هر چه سریعتر افزونه را به آخرین نسخه به روز رسانی کنند، به ویژه با توجه به این واقعیت که Wordfence یک حمله را در 24 ساعت اخیر، مسدود کرده است.
نقص دیگری در یکم جولای 2023، در همان افزونه (CVE-2023-3460، امتیاز CVSS: 9.8) به طور فعال توسط عوامل تهدید برای ایجاد کاربران admin مخرب و کنترل سایتهای آسیبپذیر مورد سوء استفاده قرار گرفته است.
این توسعه در بحبوحه افزایش یک کمپین جدید صورت گرفته است که از سایت های وردپرس هک شده برای تزریق مستقیم کریپتو دراینرها (crypto drainer یا استخراج کنندههای ارز دیجیتال) مانند Angel Drainer یا هدایت بازدیدکنندگان سایت به سایت های فیشینگ Web3 که حاوی دراینرها هستند، استفاده میکند.
دنیس سینگوبکو، محقق امنیتی Sucuri اعلام کرد که این حملات از تاکتیکهای فیشینگ و تزریقهای مخرب به منظور بهرهبرداری از اتکای اکوسیستم Web3 به تعاملات مستقیم با کیف پول استفاده می کنند و خطر قابلتوجهی برای صاحبان وبسایت و ایمنی داراییهای کاربران ایجاد مینمایند.
این همچنین به دنبال کشف یک طرح جدید “دراینر به عنوان یک سرویس” (DaaS یا drainer-as-a-service) به نام CG (مخفف CryptoGrab) رخ داده است که یک برنامه وابسته با ۱۰,۰۰۰ عضو متشکل از زبان های روسی، انگلیسی و چینی اجرا میشود.
یکی از تهدیدات کانال های تلگرامی که توسط عوامل مخرب کنترل میشود، هکرها را به یک ربات تلگرام ارجاع می دهد که آنها را قادر می سازد تا عملیات کلاهبرداری خود را بدون وابستگی به شخص ثالث به انجام رسانند.
این ربات به کاربر اجازه میدهد تا دامنه ای را به صورت رایگان دریافت کند، یک الگوی موجود برای دامنه جدید را شبیهسازی نموده وآدرس کیف پولی را که قرار است وجوه کلاهبرداری به آن ارسال شود را تنظیم میکند، و همچنین محافظت از Cloudflare را برای دامنه جدید فراهم مینماید.
گروه تهدید همچنین با استفاده از دو ربات تلگرام سفارشی به نامهای SiteCloner و CloudflarePage مشاهده شده است تا به ترتیب یک وبسایت موجود و قانونی را شبیهسازی کرده و محافظت از Cloudflare را به آن بیفزایند. این صفحات عمدتاً با استفاده از اکانتهای تحت نفوذ X (توئیتر سابق) توزیع میگردند.
