È stata rilevata una falla di sicurezza critica in un popolare plugin di WordPress chiamato Membro Ultimo che conta più di 200.000 installazioni attive.
La vulnerabilità, tracciata come CVE-2024-1071, porta un punteggio CVSS di 9,8 su un massimo di 10. Al ricercatore di sicurezza Christiaan Swiers è stato attribuito il merito di aver scoperto e segnalato il difetto.
In un avviso pubblicato la scorsa settimana, la società di sicurezza WordPress Wordfence disse il plugin è “vulnerabile a SQL Injection tramite il parametro 'sorting' nelle versioni da 2.1.3 a 2.8.2 a causa dell'escape insufficiente sul parametro fornito dall'utente e della mancanza di preparazione sufficiente sulla query SQL esistente.”
Di conseguenza, gli aggressori non autenticati potrebbero trarre vantaggio dalla falla per aggiungere ulteriori query SQL a query già esistenti ed estrarre dati sensibili dal database.
Vale la pena notare che il problema riguarda solo gli utenti che hanno selezionato l'opzione “Abilita tabella personalizzata per usermeta” nelle impostazioni del plug-in.
In seguito alla comunicazione responsabile del 30 gennaio 2024, gli sviluppatori del plugin hanno reso disponibile una correzione del difetto con il rilascio della versione 2.8.3 il 19 febbraio.
Si consiglia agli utenti di aggiornare il plug-in all'ultima versione il prima possibile per mitigare potenziali minacce, soprattutto alla luce del fatto che Wordfence ha ho già bloccato un attacco tentativo di sfruttare il difetto nelle ultime 24 ore.
Nel luglio 2023, un'altra carenza nello stesso plugin (CVE-2023-3460Punteggio CVSS: 9,8) è stato attivamente sfruttato dagli autori delle minacce per creare utenti amministratori non autorizzati e prendere il controllo dei siti vulnerabili.
Lo sviluppo avviene nel contesto di un’impennata di una nuova campagna che sfrutta i siti WordPress compromessi per iniettare criptovalute come Angelo Scolapiatti direttamente o reindirizzare i visitatori del sito a siti di phishing Web3 che contengono scolapiatti.
“Questi attacchi sfruttano tattiche di phishing e iniezioni dannose per sfruttare la dipendenza dell'ecosistema Web3 dalle interazioni dirette del portafoglio, presentando un rischio significativo sia per i proprietari dei siti Web che per la sicurezza delle risorse degli utenti”, ha affermato Denis Sinegubko, ricercatore di Sucuri. disse.
Segue anche la scoperta di un nuovo schema Drainer-as-a-Service (DaaS) chiamato CG (abbreviazione di CryptoGrab) che gestisce un programma di affiliazione di 10.000 membri di lingua russa, inglese e cinese.
Uno dei canali Telegram controllati dagli autori delle minacce “riferisce gli aggressori a un bot di Telegram che consente loro di eseguire le loro operazioni di frode senza dipendenze da terze parti”, Cyfirma disse in un rapporto della fine del mese scorso.
“Il bot consente all'utente di ottenere un dominio gratuitamente, clonare un modello esistente per il nuovo dominio, impostare l'indirizzo del portafoglio a cui dovrebbero essere inviati i fondi truffati e fornisce anche la protezione Cloudflare per quel nuovo dominio.”
È stato anche osservato che il gruppo di minacce utilizza due bot Telegram personalizzati chiamati SiteCloner e CloudflarePage per clonare rispettivamente un sito Web legittimo esistente e aggiungervi la protezione Cloudflare. Queste pagine vengono quindi distribuite principalmente utilizzando account X (ex Twitter) compromessi.