CVE-2024-1071 WordPress プラグインの脆弱性

20万以上のアクティブインストールを誇る、広く使用されているWordPressプラグイン「Ultimate Member」に、懸念すべきセキュリティ脆弱性が発見されました。CVE-2024-1071として識別され、CVSSスコアが10点満点中9.8点と評価されたこの欠陥は、セキュリティ研究者のChristiaan Swiers氏によって発見されました。

ユーザーに発行されたアドバイザリによると、この脆弱性はプラグインのバージョン 2.1.3 から 2.8.2 に存在し、「ソート」パラメータを介した SQL インジェクションに関連しています。この弱点は、ユーザー提供のフレームワークからの不適切な回避と、既存の SQL クエリの準備が不十分なことに起因しています。その結果、認証のない悪意のある行為者がこの欠陥を悪用して、既存のクエリに追加の SQL クエリを挿入し、データベースから機密データを抽出できる可能性があります。

この問題は、プラグイン設定で「usermeta のカスタム テーブルを有効にする」オプションを有効にしているユーザーにのみ影響することを強調しておくことが重要です。

ユーザーはできるだけ早くプラグインを更新する必要があります

重大な脆弱性が責任を持って開示された後、プラグイン開発者は 2 月 19 日にバージョン 2.8.3 をリリースして、速やかに問題に対処しました。

潜在的な脅威を最小限に抑えるために、ユーザーはプラグインを最新バージョンに更新することを強くお勧めします。Wordfence は過去 24 時間以内に脆弱性を狙った攻撃をすでに阻止しているため、この推奨事項は特に重要です。

注目すべきは、このプラグインがセキュリティ上の課題に直面したのは今回が初めてではないということです。2023 年 7 月、サイバー犯罪者は同じプラグインの別の脆弱性を悪用することに成功し、CVE-2023-3460 として識別されました。この脆弱性も CVSS スコア 9.8 で、脅威アクターによって不正な管理者ユーザーを確立し、脆弱な Web サイトを制御するために積極的に悪用されました。

サイバー犯罪者グループはWordPressを頻繁に標的にする

最近のキャンペーンでは、侵害された WordPress サイトが悪用され、Angel Drainer などの暗号ドレインを直接導入したり、ドレインを備えた Web3 フィッシング サイトに訪問者をリダイレクトしたりするケースが著しく増加しています。

これらの攻撃は、Web3 エコシステムが直接ウォレットのやり取りに依存していることを悪用するためにフィッシング戦略と悪意のあるインジェクションを採用しており、Web サイトの所有者とユーザー資産のセキュリティの両方に重大な脅威をもたらします。

この傾向は、CG (CryptoGrab) と呼ばれる新しい Drainer-as-a-Service (DaaS) イニシアチブの特定に続くものです。CG は、ロシア語、英語、中国語を話す 10,000 人以上の会員を擁する強力なアフィリエイト プログラムを運営しています。特に、脅威アクターが管理する Telegram チャネルは、潜在的な攻撃者を Telegram ボットに誘導し、外部に依存せずに詐欺行為の実行を容易にします。

このボットの機能には、ドメインを無料で取得すること、新しいドメイン用に既存のテンプレートを複製すること、リダイレクトされた資金のウォレット アドレスを指定すること、新しく作成されたドメインに Cloudflare 保護を提供することが含まれます。

さらに、この脅威グループは、SiteCloner と CloudflarePage という 2 つのカスタム Telegram ボットを使用しています。SiteCloner は既存の正当な Web サイトを複製し、CloudflarePage は Cloudflare の保護を追加します。これらの複製されたページは、主に侵害された X (旧 Twitter) アカウントを通じて拡散されます。