Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong một plugin WordPress phổ biến có tên Ultimate Member có hơn 200.000 cài đặt đang hoạt động.
Lỗ hổng, được theo dõi là CVE-2024-1071, có điểm CVSS là 9,8 trên tối đa là 10. Nhà nghiên cứu bảo mật Christiaan Swiers đã được ghi nhận là người phát hiện và báo cáo lỗ hổng.
Trong một tư vấn được công bố vào tuần trước, công ty bảo mật WordPress Wordfence cho biết plugin này "dễ bị SQL Injection tấn công thông qua tham số 'sắp xếp' trong các phiên bản 2.1.3 đến 2.8.2 do không đủ thoát khỏi tham số do người dùng cung cấp và thiếu sự chuẩn bị đầy đủ về truy vấn SQL hiện có."
Do đó, những kẻ tấn công chưa được xác thực có thể lợi dụng lỗ hổng để thêm các truy vấn SQL bổ sung vào các truy vấn đã tồn tại và trích xuất dữ liệu nhạy cảm từ cơ sở dữ liệu.
Cần lưu ý rằng sự cố chỉ ảnh hưởng đến người dùng đã chọn tùy chọn "Bật bảng tùy chỉnh cho usermeta" trong cài đặt plugin.
Sau khi tiết lộ có trách nhiệm vào ngày 30 tháng 1 năm 2024, một bản sửa lỗi cho lỗ hổng đã được các nhà phát triển plugin cung cấp với việc phát hành phiên bản 2.8.3 vào ngày 19 tháng 2.
Người dùng nên cập nhật plugin lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn, đặc biệt là trong thực tế là Wordfence đã chặn một cuộc tấn công cố gắng khai thác lỗ hổng trong 24 giờ qua.
Vào tháng 7/2023, một thiếu sót khác trong cùng một plugin (CVE-2023-3460, điểm CVSS: 9.8) đã được các tác nhân đe dọa tích cực khai thác để tạo ra người dùng quản trị giả mạo và chiếm quyền kiểm soát các trang web dễ bị tấn công.
Sự phát triển này diễn ra trong bối cảnh sự gia tăng trong một chiến dịch mới tận dụng các trang web WordPress bị xâm nhập để tiêm trực tiếp các trình thoát nước tiền điện tử như Angel Drainer hoặc chuyển hướng khách truy cập trang web đến các trang web lừa đảo Web3 có chứa trình thoát nước.
"Những cuộc tấn công này tận dụng các chiến thuật lừa đảo và tiêm độc hại để khai thác sự phụ thuộc của hệ sinh thái Web3 vào các tương tác ví trực tiếp, gây rủi ro đáng kể cho cả chủ sở hữu trang web và sự an toàn của tài sản người dùng", nhà nghiên cứu Denis Sinegubko của Sucuri cho biết.
Nó cũng theo sau việc phát hiện ra một chương trình thoát nước dưới dạng dịch vụ (DaaS) mới được gọi là CG (viết tắt của CryptoGrab) điều hành một chương trình liên kết 10.000 thành viên bao gồm những người nói tiếng Nga, tiếng Anh và tiếng Trung.
Một trong những mối đe dọa mà các kênh Telegram kiểm soát "đề cập đến những kẻ tấn công đến một bot điện tín cho phép họ điều hành các hoạt động gian lận của mình mà không có bất kỳ sự phụ thuộc nào của bên thứ ba", Cyfirma cho biết trong một báo cáo vào cuối tháng trước.
"Bot cho phép người dùng nhận miền miễn phí, sao chép mẫu hiện có cho tên miền mới, đặt địa chỉ ví nơi các khoản tiền bị lừa đảo được cho là sẽ được gửi và cũng cung cấp bảo vệ Cloudflare cho tên miền mới đó."
Nhóm mối đe dọa cũng đã được quan sát bằng cách sử dụng hai bot điện tín tùy chỉnh có tên SiteCloner và CloudflarePage để sao chép một trang web hợp pháp hiện có và thêm bảo vệ Cloudflare vào đó, tương ứng. Các trang này sau đó được phân phối chủ yếu bằng cách sử dụng các tài khoản X (trước đây là Twitter) bị xâm nhập.