200.000’den fazla aktif kuruluma sahip olan Ultimate Member adlı popüler WordPress eklentisinde kritik bir güvenlik açığı ortaya çıktı.
CVE-2024-1071 olarak takip edilen güvenlik açığı, maksimum 10 üzerinden 9,8 CVSS puanına sahip. Güvenlik araştırmacısı Christiaan Swiers, kusuru keşfetme ve bildirme konusunda itibar kazandı.
Geçtiğimiz hafta yayınlanan bir danışma belgesinde, WordPress güvenlik şirketi Wordfence, eklentinin “kullanıcı tarafından sağlanan parametreden yetersiz kaçış ve yeterli hazırlık eksikliği nedeniyle 2.1.3 ila 2.8.2 sürümlerinde ‘sorting’ parametresi aracılığıyla SQL Injection’a karşı savunmasız olduğunu” söyledi. mevcut SQL sorgusu.”
Sonuç olarak, kimliği doğrulanmamış saldırganlar, mevcut sorgulara ek SQL sorguları eklemek ve veritabanından hassas verileri çıkarmak için bu kusurdan yararlanabiliyor.
Sorunun yalnızca eklenti ayarlarında “Kullanıcı metası için özel tabloyu etkinleştir” seçeneğini işaretleyen kullanıcıları etkilediğini belirtmekte fayda var.
30 Ocak 2024’teki sorumlu açıklamanın ardından, 19 Şubat’ta 2.8.3 sürümünün yayınlanmasıyla birlikte eklenti geliştiricileri tarafından kusura yönelik bir düzeltme kullanıma sunuldu.
Özellikle Wordfence’in son 24 saat içinde kusurdan yararlanmaya çalışan bir saldırıyı zaten engellediği gerçeği ışığında, kullanıcılara potansiyel tehditleri azaltmak için eklentiyi mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir.
Temmuz 2023’te, aynı eklentideki başka bir eksiklik (CVE-2023-3460, CVSS puanı: 9,8), sahte yönetici kullanıcılar oluşturmak ve savunmasız sitelerin kontrolünü ele geçirmek için tehdit aktörleri tarafından aktif olarak kullanıldı.
Bu gelişme, Angel Drainer gibi kripto filtrelerini doğrudan enjekte etmek veya site ziyaretçilerini filtreleyici içeren Web3 kimlik avı sitelerine yönlendirmek için ele geçirilen WordPress sitelerinden yararlanan yeni bir kampanyanın arttığı bir dönemde gerçekleşti.
Sucuri araştırmacısı Denis Sinegubko, “Bu saldırılar, Web3 ekosisteminin doğrudan cüzdan etkileşimlerine bağımlılığını istismar etmek için kimlik avı taktiklerinden ve kötü niyetli enjeksiyonlardan yararlanıyor ve hem web sitesi sahipleri hem de kullanıcı varlıklarının güvenliği için önemli bir risk oluşturuyor.” dedi.
Bu aynı zamanda, Rusça, İngilizce ve Çince konuşanlardan oluşan 10.000 üyeli güçlü bir ortaklık programını yürüten CG (CryptoGrab’ın kısaltması) adı verilen yeni bir hizmet olarak tüketen (DaaS) planının keşfinin ardından geldi.
Cyfirma, geçen ayın sonlarında yayınladığı bir raporda, tehditlerden birinin aktör kontrolündeki Telegram kanallarında “saldırganları, dolandırıcılık operasyonlarını herhangi bir üçüncü taraf bağımlılığı olmadan yürütmelerine olanak tanıyan bir telgraf botuna yönlendirdiğini” söyledi.
“Bot, kullanıcının ücretsiz olarak bir alan adı almasına, yeni alan adı için mevcut bir şablonu kopyalamasına, dolandırılan fonların gönderileceği cüzdan adresini belirlemesine ve ayrıca bu yeni alan adı için Cloudflare koruması sağlamasına olanak tanıyor.”
Tehdit grubunun ayrıca mevcut, meşru bir web sitesini klonlamak ve buna Cloudflare koruması eklemek için SiteCloner ve CloudflarePage adlı iki özel telgraf botunu kullandığı da gözlemlendi. Bu sayfalar daha sonra çoğunlukla güvenliği ihlal edilmiş X (eski adıyla Twitter) hesapları kullanılarak dağıtılır.