CVE-2024-1071 Sicherheitslücke im WordPress-Plugin

Im weit verbreiteten WordPress-Plugin Ultimate Member, das über 200.000 aktive Installationen aufweist, ist eine besorgniserregende Sicherheitslücke aufgetaucht. Der Sicherheitsforscher Christiaan Swiers hat diese Schwachstelle mit der Bezeichnung CVE-2024-1071 und einem CVSS-Score von 9,8 von 10 ans Licht gebracht.

Laut einer an Benutzer herausgegebenen Warnung befindet sich die Sicherheitslücke in den Versionen 2.1.3 bis 2.8.2 des Plugins und ist mit SQL-Injection über den Parameter „Sortierung“ verbunden. Diese Schwachstelle ist auf ein unzureichendes Abweichen vom benutzerdefinierten Framework und eine unzureichende Vorbereitung der vorhandenen SQL-Abfrage zurückzuführen. Folglich könnten böswillige Akteure ohne Authentifizierung diesen Fehler ausnutzen, um zusätzliche SQL-Abfragen in bereits vorhandene Abfragen einzuschleusen, was zur Extraktion vertraulicher Daten aus der Datenbank führen würde.

Es ist wichtig hervorzuheben, dass dieses Problem ausschließlich Benutzer betrifft, die in den Plugin-Einstellungen die Option „Benutzerdefinierte Tabelle für Usermeta aktivieren“ aktiviert haben.

Benutzer sollten ihre Plugins so schnell wie möglich aktualisieren

Nach der verantwortungsvollen Offenlegung der kritischen Sicherheitslücke haben die Entwickler des Plugins das Problem umgehend behoben und am 19. Februar die Version 2.8.3 veröffentlicht.

Benutzern wird dringend empfohlen, das Update des Plugins auf die neueste Version zu beschleunigen, um potenzielle Bedrohungen zu minimieren. Diese Empfehlung ist besonders wichtig, da Wordfence innerhalb der letzten 24 Stunden bereits einen Angriff auf die Schwachstelle abgewehrt hat.

Dies ist nicht das erste Mal, dass das Plugin mit Sicherheitsproblemen konfrontiert ist. Im Juli 2023 nutzten Cyberkriminelle erfolgreich eine weitere Schwachstelle im selben Plugin aus, die als CVE-2023-3460 identifiziert wurde. Diese Schwachstelle, die ebenfalls einen CVSS-Score von 9,8 aufweist, wurde von Bedrohungsakteuren aktiv missbraucht, um nicht autorisierte Administratorbenutzer einzurichten und die Kontrolle über anfällige Websites zu erlangen.

Cyberkriminelle Gruppen zielen oft auf WordPress ab

Im Rahmen einer kürzlich durchgeführten Kampagne kam es zu einem deutlichen Anstieg von Angriffen auf kompromittierte WordPress-Sites, bei denen Krypto-Drainer wie der Angel Drainer direkt eingeführt oder Besucher auf Web3-Phishing-Sites mit Drainern umgeleitet wurden.

Bei diesen Angriffen kommen Phishing-Strategien und bösartige Injektionen zum Einsatz, um die Abhängigkeit des Web3-Ökosystems von direkten Wallet-Interaktionen auszunutzen und so sowohl für die Websitebesitzer als auch für die Sicherheit der Benutzerressourcen eine erhebliche Bedrohung darzustellen.

Dieser Trend folgt der Identifizierung einer neuen Drainer-as-a-Service (DaaS)-Initiative namens CG (CryptoGrab). CG betreibt ein robustes Partnerprogramm mit über 10.000 Mitgliedern, darunter Russisch-, Englisch- und Chinesischsprachige. Insbesondere leitet ein von Bedrohungsakteuren kontrollierter Telegrammkanal potenzielle Angreifer zu einem Telegrammbot und erleichtert so die Durchführung von Betrugsoperationen ohne externe Abhängigkeiten.

Zu den Funktionen dieses Bots gehören das kostenlose Erhalten einer Domäne, das Duplizieren einer vorhandenen Vorlage für die neue Domäne, das Angeben der Wallet-Adresse für umgeleitete Gelder und das Bereitstellen von Cloudflare-Schutz für die neu erstellte Domäne.

Darüber hinaus verwendet die Bedrohungsgruppe zwei benutzerdefinierte Telegram-Bots namens SiteCloner und CloudflarePage. SiteCloner dupliziert vorhandene legitime Websites, während CloudflarePage Cloudflare-Schutz hinzufügt. Diese geklonten Seiten werden dann hauptsächlich über kompromittierte X-Konten (früher Twitter) verbreitet.