De onthulling van een kritieke maas in de beveiliging binnen de wijdverspreide WordPress-plug-in, Ultieme lid, heeft schokgolven door de online gemeenschap gestuurd. Bijgehouden als CVE-2024-1071 en ontdekt door beveiligingsonderzoeker Christiaan Swiers, deze kwetsbaarheid heeft een duizelingwekkende CVSS-score van 9.8 uit 10.
Technisch overzicht van CVE-2024-1071
De kwetsbaarheid ligt in versies 2.1.3 aan 2.8.2 van Ultimate Member en komt voort uit a SQL-injectiefout geassocieerd met 'sorteren'’ parameter. Aanvallers kunnen deze zwakte misbruiken om kwaadaardige SQL-query's te injecteren, gebruik maken van onvoldoende ontsnappingsmechanismen en onvoldoende voorbereiding van zoekopdrachten. Opmerkelijk, deze kwetsbaarheid treft gebruikers die hebben gekozen voor de “Schakel aangepaste tabel in voor usermeta” optie binnen de plugin-instellingen.
De gevolgen van CVE-2024-1071 mogen niet worden onderschat. Ongeautoriseerde dreigingsactoren kunnen de fout misbruiken om websites te infiltreren, database-inhoud manipuleren, en mogelijk gevoelige gegevens extraheren. Het inherente risico dat niet-geverifieerde SQL-injectieaanvallen met zich meebrengen, toont de urgentie aan van snelle mitigatiemaatregelen.
Versie 2.8.3 van Ultimate Member Bevat de patch
Als reactie op de verantwoorde openbaarmaking, de plug-inontwikkelaars hebben snel een patch in versie uitgebracht 2.8.3 van Ultimate Member in februari 19. Het is absoluut noodzakelijk dat gebruikers hun plug-ins onmiddellijk updaten naar de nieuwste versie om hun websites te beschermen tegen mogelijke exploitatie. Wordfence, een WordPress-beveiligingsbedrijf, heeft al één aanvalspoging binnen onderschept 24 uur na de openbaarmaking van de kwetsbaarheid, het benadrukken van de onmiddellijke dreiging.
Echter, deze kwetsbaarheid is geen geïsoleerd incident. Het maakt deel uit van een bredere trend van kwetsbaarheden gericht op WordPress-sites. Bedreigingsactoren hebben eerder soortgelijke kwetsbaarheden uitgebuit, zoals CVE-2023-3460, kwaadwillige activiteiten te orkestreren, inclusief het creëren van malafide beheerders.
Andere kwaadaardige campagnes tegen WordPress-sites
Er is ook een nieuwe campagne opgedoken die gebruik maakt van gecompromitteerde WordPress-sites om crypto-drainers te injecteren. De campagne speelt in op de afhankelijkheid van het Web3-ecosysteem van directe portemonnee-interacties, Dit brengt aanzienlijke risico's met zich mee voor zowel website-eigenaren als gebruikersactiva.
Geavanceerde schema's, zoals de drainer-as-a-service (DaaS) regeling genaamd CG (CryptoGrab) zijn ook in opkomst. Deze regeling beheert een grootschalig partnerprogramma, het faciliteren van frauduleuze operaties met alarmerende efficiëntie.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: