La rivelazione di una falla critica nella sicurezza all'interno del plugin WordPress ampiamente diffuso, Membro Ultimo, ha inviato onde d'urto attraverso la comunità online. Rintracciato come CVE-2024-1071 e scoperto dal ricercatore di sicurezza Christiaan Swiers, questa vulnerabilità ha un punteggio CVSS sconcertante 9.8 su 10.
Panoramica tecnica di CVE-2024-1071
La vulnerabilità risiede nelle versioni 2.1.3 a 2.8.2 di Ultimate Member e deriva da a Difetto di SQL Injection associato all'ordinamento’ parametro. Gli aggressori possono sfruttare questa debolezza per inserire query SQL dannose, sfruttando meccanismi di fuga insufficienti e una preparazione inadeguata delle query. In particolare, questa vulnerabilità colpisce gli utenti che hanno optato per il “Abilita la tabella personalizzata per usermeta” opzione nelle impostazioni del plugin.
Le ramificazioni di CVE-2024-1071 non dovrebbero essere sottovalutate. Gli autori di minacce non autorizzate potrebbero sfruttare la falla per infiltrarsi nei siti Web, manipolare il contenuto del database, e potenzialmente estrarre dati sensibili. Il rischio intrinseco rappresentato dagli attacchi SQL Injection non autenticati dimostra l’urgenza di misure di mitigazione tempestive.
Versione 2.8.3 di Ultimate Member contiene la patch
In risposta alla divulgazione responsabile, gli sviluppatori del plugin hanno rapidamente rilasciato una patch nella versione 2.8.3 di Ultimate Member a febbraio 19. È fondamentale che gli utenti aggiornino tempestivamente i propri plugin alla versione più recente per proteggere i propri siti Web da potenziali sfruttamenti. Wordfence, una società di sicurezza WordPress, ha già intercettato un tentativo di attacco all'interno 24 ore dalla divulgazione della vulnerabilità, evidenziando la minaccia imminente.
Tuttavia, questa vulnerabilità non è un incidente isolato. Fa parte di una tendenza più ampia di vulnerabilità che prendono di mira i siti WordPress. Gli autori delle minacce hanno già sfruttato vulnerabilità simili, come CVE-2023-3460, per orchestrare attività dannose, inclusa la creazione di utenti amministratori non autorizzati.
Altre campagne dannose contro i siti WordPress
È emersa anche una nuova campagna che sfrutta i siti WordPress compromessi per iniettare cripto-drenatori. La campagna sfrutta la dipendenza dell'ecosistema Web3 dalle interazioni dirette del portafoglio, comportando rischi significativi sia per i proprietari dei siti web che per le risorse degli utenti.
Schemi sofisticati, come lo scolapiatti come servizio (DaaS) schema soprannominato CG (CryptoGrab) sono anche in aumento. Questo schema gestisce un programma di affiliazione su larga scala, facilitando operazioni fraudolente con un’efficienza allarmante.