CVE-2024-1071 Vulnérabilité du plugin WordPress
Une vulnérabilité de sécurité inquiétante a été révélée dans le plugin WordPress largement utilisé connu sous le nom d’Ultimate Member, qui compte plus de 200 000 installations actives. Cette faille, identifiée comme CVE-2024-1071 et ayant reçu un score CVSS de 9,8 sur 10, a été mise en lumière par le chercheur en sécurité Christiaan Swiers.
Selon un avis adressé aux utilisateurs, la vulnérabilité réside dans les versions 2.1.3 à 2.8.2 du plugin et est associée à l'injection SQL via le paramètre « sorting ». Cette faiblesse provient d'un éloignement insuffisant du framework fourni par l'utilisateur et d'un manque de préparation suffisante sur la requête SQL existante. Par conséquent, des acteurs malveillants sans authentification pourraient exploiter cette faille pour injecter des requêtes SQL supplémentaires dans des requêtes préexistantes, conduisant ainsi à l'extraction de données sensibles de la base de données.
Il est important de souligner que ce problème concerne exclusivement les utilisateurs qui ont activé l'option « Activer la table personnalisée pour la méta-utilisateur » dans les paramètres du plugin.
Les utilisateurs doivent mettre à jour leurs plugins dès que possible
Suite à la divulgation responsable de la vulnérabilité critique, les développeurs du plugin ont rapidement résolu le problème en publiant la version 2.8.3 le 19 février.
Il est fortement conseillé aux utilisateurs d'accélérer la mise à jour du plugin vers la dernière version afin de minimiser les menaces potentielles. Cette recommandation est particulièrement cruciale dans la mesure où Wordfence a déjà déjoué une attaque ciblant la vulnérabilité au cours des dernières 24 heures.
Notamment, ce n’est pas la première fois que le plugin est confronté à des problèmes de sécurité. En juillet 2023, les cybercriminels ont réussi à exploiter une autre faiblesse du même plugin, identifiée comme CVE-2023-3460. Cette vulnérabilité, qui porte également un score CVSS de 9,8, a été activement exploitée par des acteurs malveillants pour établir des utilisateurs administrateurs non autorisés et prendre le contrôle de sites Web vulnérables.
Les groupes de cybercriminels ciblent souvent WordPress
Une campagne récente a constaté une augmentation notable de l’exploitation de sites WordPress compromis pour introduire directement des draineurs de crypto comme Angel Drainer ou rediriger les visiteurs vers des sites de phishing Web3 comportant des draineurs.
Ces attaques utilisent des stratégies de phishing et des injections malveillantes pour tirer parti de la dépendance de l'écosystème Web3 à l'égard des interactions directes avec les portefeuilles, ce qui constitue une menace importante à la fois pour les propriétaires de sites Web et pour la sécurité des actifs des utilisateurs.
Cette tendance fait suite à l'identification d'une nouvelle initiative de drainer-as-a-service (DaaS) connue sous le nom de CG (CryptoGrab). CG gère un solide programme d'affiliation avec plus de 10 000 membres, comprenant des locuteurs russes, anglais et chinois. Notamment, un canal Telegram contrôlé par des acteurs malveillants guide les attaquants potentiels vers un bot Telegram, facilitant ainsi l’exécution d’opérations frauduleuses sans dépendances externes.
Les capacités de ce bot incluent l'obtention d'un domaine gratuitement, la duplication d'un modèle existant pour le nouveau domaine, la spécification de l'adresse du portefeuille pour les fonds redirigés et la fourniture d'une protection Cloudflare pour le domaine nouvellement créé.
De plus, le groupe de menaces utilise deux robots Telegram personnalisés nommés SiteCloner et CloudflarePage. SiteCloner duplique les sites Web légitimes existants, tandis que CloudflarePage ajoute la protection Cloudflare. Ces pages clonées sont ensuite diffusées principalement via des comptes X (anciennement Twitter) compromis.