Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong một plugin WordPress phổ biến mang tên Ultimate Member có hơn 200.000 lượt cài đặt hoạt động.
Lỗ hổng này có mã định danh là CVE-2024-1071, điểm CVSS là 9.8/10. Nhà nghiên cứu bảo mật Christiaan Swiers đã được ghi nhận đã phát hiện và báo cáo lỗ hổng này.
Công ty bảo mật WordPress Wordfence cho biết rằng plugin này “dễ bị tấn công SQL Injection thông qua tham số ‘sorting’ trong các phiên bản từ 2.1.3 đến 2.8.2 do thiếu sự chuẩn bị đầy đủ cho truy vấn SQL hiện tại.”
Những kẻ tấn công chưa xác thực có thể tận dụng lỗ hổng này để thêm các truy vấn SQL bổ sung vào các truy vấn đã tồn tại và trích xuất dữ liệu nhạy cảm từ cơ sở dữ liệu.
Đáng chú ý rằng vấn đề này chỉ ảnh hưởng đến người dùng đã chọn tùy chọn “Bật bảng tùy chỉnh cho usermeta” trong cài đặt plugin.
Một bản vá cho lỗ hổng đã được các nhà phát triển plugin phát hành với phiên bản 2.8.3 vào ngày 19 tháng 2.
Người dùng được khuyến cáo cập nhật plugin lên phiên bản mới nhất ngay lập tức để giảm thiểu các mối đe dọa tiềm ẩn, đặc biệt là khi Wordfence đã chặn một cuộc tấn công cố gắng khai thác lỗ hổng trong vòng 24 giờ qua.
Vào tháng 7 năm 2023, một điểm yếu khác trong cùng plugin (CVE-2023-3460, điểm CVSS: 9.8) đã bị các kẻ đe dọa tận dụng để tạo ra người dùng quản trị giả mạo và chiếm quyền kiểm soát trên các trang web dễ bị tấn công.
Sự phát triển này diễn ra trong bối cảnh một chiến dịch mới gia tăng, sử dụng các trang web WordPress bị chiếm đoạt để vào các trình rút tiền tiền điện tử như Angel Drainer trực tiếp hoặc chuyển hướng người truy cập trang web đến các trang web lừa đảo Web3 chứa công cụ rút tiền.
Nhà nghiên cứu Denis Sinegubko của Sucuri cho biết: “Các cuộc tấn công này tận dụng các chiến thuật lừa đảo và tiêm độc hại để khai thác sự phụ thuộc của hệ sinh thái Web3 vào các tương tác ví trực tiếp, gây ra rủi ro đáng kể cho cả chủ sở hữu trang web và sự an toàn của tài sản người dùng”.
Theo việc phát hiện ra một chương trình dịch vụ rút tiền mới gọi là CG (viết tắt của CryptoGrab) chạy một chương trình liên kết mạnh mẽ với 10.000 thành viên bao gồm người nói tiếng Nga, tiếng Anh và tiếng Trung.
Cyfirma nói trong một báo cáo vào cuối tháng trước: Một trong những mối đe dọa của các kênh Telegram hướng những kẻ tấn công đến một bot điện tín cho phép chúng thực hiện các hoạt động lừa đảo mà không cần bất kỳ sự phụ thuộc nào của bên thứ ba.
“Bot cho phép người dùng nhận miền miễn phí, sao chép một mẫu hiện có cho tên miền mới, thiết lập địa chỉ ví nơi mà các quỹ bị lừa đảo được gửi, và cung cấp khả năng bảo vệ Cloudflare cho tên miền mới đó.”
Nhóm đe dọa cũng đã được quan sát sử dụng hai bot telegram tùy chỉnh gọi là SiteCloner và CloudflarePage để sao chép một trang web hợp pháp hiện có và thêm bảo vệ Cloudflare tương ứng. Những trang này được phân phối chủ yếu bằng cách sử dụng tài khoản X bị xâm nhập (trước đây là Twitter).