Uma omissão sátira de segurança foi revelada em um plugin popular do WordPress chamado Ultimate Member, que possui mais de 200.000 instalações ativas.
A vulnerabilidade, rastreada uma vez que CVE-2024-1071, carrega uma pontuação CVSS de 9,8 em um supremo de 10. O pesquisador de segurança Christiaan Swiers foi creditado por deslindar e relatar a omissão.
Em um transmitido publicado na semana passada, a empresa de segurança WordPress Wordfence disse que o plugin é “vulnerável à injeção de SQL por meio do parâmetro ‘classificação’ nas versões 2.1.3 a 2.8.2 devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação suficiente no a consulta SQL existente.”
Porquê resultado, invasores não autenticados poderiam aproveitar a omissão para apensar consultas SQL adicionais a consultas já existentes e extrair dados confidenciais do banco de dados.
Vale ressaltar que o problema afeta unicamente usuários que marcaram a opção “Ativar tábua personalizada para usermeta” nas configurações do plugin.
Depois divulgação responsável em 30 de janeiro de 2024, uma correção para a omissão foi disponibilizada pelos desenvolvedores do plugin com o lançamento da versão 2.8.3 em 19 de fevereiro.
Os usuários são aconselhados a atualizar o plugin para a versão mais recente o mais rápido verosímil para mitigar ameaças potenciais, mormente considerando o indumento de que o Wordfence já bloqueou um ataque que tentava explorar a omissão nas últimas 24 horas.
Em julho de 2023, outra deficiência no mesmo plug-in (CVE-2023-3460, pontuação CVSS: 9,8) foi ativamente explorada por agentes de ameaças para gerar usuários administradores desonestos e assumir o controle de sites vulneráveis.
O desenvolvimento ocorre em meio ao aumento de uma novidade campanha que aproveita sites WordPress comprometidos para injetar drenadores de criptografia, uma vez que o Angel Drainer, diretamente ou redirecionar os visitantes do site para sites de phishing Web3 que contêm drenadores.
“Esses ataques aproveitam táticas de phishing e injeções maliciosas para explorar a subordinação do ecossistema Web3 de interações diretas com carteiras, apresentando um risco significativo tanto para os proprietários de sites quanto para a segurança dos ativos dos usuários”, disse Denis Sinegubko, pesquisador da Sucuri.
Também segue a invenção de um novo esquema de drenagem uma vez que serviço (DaaS) chamado CG (abreviatura de CryptoGrab), que administra um programa de afiliados com 10.000 membros, constituído por falantes de russo, inglês e chinês.
Uma das ameaças aos canais do Telegram controlados por atores “refere os invasores a um bot de telegrama que lhes permite executar suas operações fraudulentas sem qualquer subordinação de terceiros”, disse Cyfirma em um relatório no final do mês pretérito.
“O bot permite que um usuário obtenha um domínio gratuitamente, clone um protótipo existente para o novo domínio, defina o endereço da carteira para onde os fundos fraudados devem ser enviados e também fornece proteção Cloudflare para esse novo domínio.”
O grupo de ameaças também foi observado usando dois bots de telegrama personalizados chamados SiteCloner e CloudflarePage para clonar um site legítimo existente e somar proteção Cloudflare a ele, respectivamente. Essas páginas são logo distribuídas principalmente usando contas X comprometidas (velho Twitter).
