Se ha revelado una falla de seguridad crítica en un popular complemento de WordPress llamado Ultimate Member que tiene más de 200.000 instalaciones activas.
La vulnerabilidad, rastreada como CVE-2024-1071, tiene una puntuación CVSS de 9,8 sobre un máximo de 10. Al investigador de seguridad Christiaan Swiers se le atribuye el mérito de descubrir e informar la falla.
En un aviso publicado la semana pasada, la empresa de seguridad de WordPress Wordfence dijo que el complemento es “vulnerable a la inyección SQL a través del parámetro ‘clasificación’ en las versiones 2.1.3 a 2.8.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente.”
Como resultado, los atacantes no autenticados podrían aprovechar la falla para agregar consultas SQL adicionales a consultas ya existentes y extraer datos confidenciales de la base de datos.
Vale la pena señalar que el problema solo afecta a los usuarios que han marcado la opción “Habilitar tabla personalizada para usermeta” en la configuración del complemento.
Tras la divulgación responsable el 30 de enero de 2024, los desarrolladores del complemento pusieron a disposición una solución para la falla con el lanzamiento de la versión 2.8.3 el 19 de febrero.
Se recomienda a los usuarios que actualicen el complemento a la última versión lo antes posible para mitigar posibles amenazas, especialmente a la luz del hecho de que Wordfence ya bloqueó un ataque que intentaba explotar la falla en las últimas 24 horas.
En julio de 2023, los actores de amenazas explotaron activamente otra deficiencia en el mismo complemento ( CVE-2023-3460 , puntuación CVSS: 9,8) para crear usuarios administradores deshonestos y tomar el control de sitios vulnerables.
El desarrollo se produce en medio de un aumento en una nueva campaña que aprovecha los sitios de WordPress comprometidos para inyectar drenajes criptográficos como Angel Drainer directamente o redirigir a los visitantes del sitio a sitios de phishing Web3 que contienen drenajes .
“Estos ataques aprovechan tácticas de phishing e inyecciones maliciosas para explotar la dependencia del ecosistema Web3 de las interacciones directas con la billetera, lo que presenta un riesgo significativo tanto para los propietarios de sitios web como para la seguridad de los activos de los usuarios”, dijo el investigador de Sucuri Denis Sinegubko .
También sigue al descubrimiento de un nuevo esquema de drenaje como servicio (DaaS) llamado CG (abreviatura de CryptoGrab ) que ejecuta un programa de afiliados de 10.000 miembros compuesto por hablantes de ruso, inglés y chino.
Uno de los canales de Telegram controlados por actores de amenazas “remite a los atacantes a un robot de Telegram que les permite ejecutar sus operaciones de fraude sin dependencias de terceros”, dijo Cyfirma en un informe a finales del mes pasado.
“El bot permite al usuario obtener un dominio de forma gratuita, clonar una plantilla existente para el nuevo dominio, establecer la dirección de la billetera donde se supone que se enviarán los fondos estafados y también proporciona protección de Cloudflare para ese nuevo dominio”.
También se ha observado que el grupo de amenazas utiliza dos bots de Telegram personalizados llamados SiteCloner y CloudflarePage para clonar un sitio web legítimo existente y agregarle protección de Cloudflare, respectivamente. Luego, estas páginas se distribuyen principalmente utilizando cuentas X (anteriormente Twitter) comprometidas.
Fuente: thehackernews.com