CVE-2024-1071 Vulnerabilidad del complemento de WordPress
Una vulnerabilidad de seguridad preocupante ha quedado expuesta en el complemento de WordPress ampliamente utilizado conocido como Ultimate Member, que cuenta con más de 200.000 instalaciones activas. Esta falla, identificada como CVE-2024-1071 y a la que se le asignó una puntuación CVSS de 9,8 sobre 10, fue sacada a la luz por el investigador de seguridad Christiaan Swiers.
Según un aviso emitido a los usuarios, la vulnerabilidad reside en las versiones 2.1.3 a 2.8.2 del complemento y está asociada con la inyección SQL a través del parámetro 'clasificación'. Esta debilidad se debe a un alejamiento inadecuado del marco proporcionado por el usuario y a una falta de preparación suficiente en la consulta SQL existente. En consecuencia, los actores maliciosos sin autenticación podrían aprovechar esta falla para inyectar consultas SQL adicionales en las preexistentes, lo que llevaría a la extracción de datos confidenciales de la base de datos.
Es importante resaltar que este problema afecta exclusivamente a los usuarios que han habilitado la opción "Habilitar tabla personalizada para usermeta" en la configuración del complemento.
Los usuarios deben actualizar sus complementos lo antes posible
Tras la divulgación responsable de la vulnerabilidad crítica, los desarrolladores del complemento abordaron rápidamente el problema lanzando la versión 2.8.3 el 19 de febrero.
Se recomienda encarecidamente a los usuarios que aceleren la actualización del complemento a la última versión para minimizar amenazas potenciales. Esta recomendación es particularmente crucial ya que Wordfence ya frustró un ataque dirigido a la vulnerabilidad en las últimas 24 horas.
En particular, esta no es la primera vez que el complemento enfrenta desafíos de seguridad. En julio de 2023, los ciberdelincuentes explotaron con éxito otra debilidad en el mismo complemento, identificada como CVE-2023-3460. Los actores de amenazas abusaron activamente de esta vulnerabilidad, que también tiene una puntuación CVSS de 9,8, para establecer usuarios administradores no autorizados y obtener el control de los sitios web vulnerables.
Los grupos de ciberdelincuentes suelen apuntar a WordPress
Una campaña reciente ha visto un aumento notable en la explotación de sitios de WordPress comprometidos para introducir directamente drenajes de criptomonedas como Angel Drainer o redirigir a los visitantes a sitios de phishing Web3 que presentan drenajes.
Estos ataques emplean estrategias de phishing e inyecciones maliciosas para aprovechar la dependencia del ecosistema Web3 de las interacciones directas con la billetera, lo que representa una amenaza importante tanto para los propietarios de sitios web como para la seguridad de los activos de los usuarios.
Esta tendencia sigue a la identificación de una nueva iniciativa de drenaje como servicio (DaaS) conocida como CG (CryptoGrab). CG opera un sólido programa de afiliados con más de 10.000 miembros, que incluyen hablantes de ruso, inglés y chino. En particular, un canal de Telegram controlado por actores de amenazas guía a los atacantes potenciales hacia un bot de Telegram, facilitando la ejecución de operaciones de fraude sin dependencias externas.
Las capacidades de este bot incluyen obtener un dominio de forma gratuita, duplicar una plantilla existente para el nuevo dominio, especificar la dirección de billetera para los fondos redirigidos y brindar protección de Cloudflare para el dominio recién creado.
Además, el grupo de amenazas emplea dos bots de Telegram personalizados llamados SiteCloner y CloudflarePage. SiteCloner duplica sitios web legítimos existentes, mientras que CloudflarePage agrega protección Cloudflare. Estas páginas clonadas se difunden principalmente a través de cuentas X (anteriormente Twitter) comprometidas.