تم اكتشاف ثغرة أمنية خطيرة في الإضافة الشهيرة Ultimate Member لمكون ووردبريس، والتي يستخدمها أكثر من 200000 مستخدم نشط.
تم اكتشاف الثغرة الأمنية التي تحمل رقم CVE-2024-1071 بمعدل تصنيف CVSS يبلغ 9.8 من أصل 10 كحد أقصى. يُعزى اكتشاف الثغرة والإبلاغ عنها إلى الباحث الأمني كريستيان سويرز.
في تقرير استشاري تم نشره الأسبوع الماضي، ذكرت شركة WordPress الأمنية Wordfence أن الإضافة "معرض لـ SQL حقن عبر معلمة" تعرضت للخطر في الإصدارات من 2.1.3 إلى 2.8.2 بسبب عدم كفاية تهريب المعلمة المدخلة من قبل المستخدم وعدم وجود إعداد كافٍ على استعلام SQL.
نتيجة لذلك، يمكن للمهاجمين غير المصرح لهم الاستفادة من الثغرة لإدخال استعلامات SQL إضافية إلى الاستعلامات الموجودة بالفعل واستخراج البيانات الحساسة من قاعدة البيانات.
يجب الانتباه إلى أن هذه المشكلة تؤثر في الحقيقة على الأشخاص الذين قاموا بتفعيل خيار "تمكين الجدول المخصص لـ usermeta" في إعدادات الإضافة.
بعد الكشف الرسمي في 30 يناير 2024، عمل مطورو البرنامج الإضافي على توفير حل للمشكلة مع إصدار الإصدار 2.8.3 في 19 فبراير.
يجب على المستخدمين تحديث المكون الإضافي إلى النسخة الأحدث في أسرع وقت ممكن لتقليل المخاطر، وذلك خاصةً بناءً على حظر Wordfence لمحاولة هجوم استغلال الثغرة خلال الـ 24 ساعة الماضية.
في يوليو 2023، تم استغلال عيب آخر في نفس المكون الإضافي (CVE-2023-3460، تصنيف الخطورة: 9.8) بنشاط من قبل الجهات الخبيثة لإنشاء مستخدمين إداريين مزيفين والتحكم في المواقع الضعيفة.
يأتي هذا التطوير في ظل زيادة في الحملة الجديدة التي تستهدف مواقع WordPress المخترقة لزرع أدوات تجفيف العملات المشفرة مثل Angel Drainer مباشرة، أو توجيه زوار الموقع إلى مواقع التصيد الاحتيالي Web3 التي تحتوي على أدوات تجفيف.
قال الباحث في شركة Sucuri، دينيس سينيجوبكو: "تعتمد هذه الهجمات على أساليب التصيد الاحتيالي وحقن البرمجيات الضارة للاستيلاء على معلومات اعتماد نظام Web3 والتفاعل مع المحافظ بشكل مباشر، مما يشكل تهديدا كبيرا على مالكي مواقع الويب وسلامة أصول المستخدمين".
كما تم العثور على مخطط جديد للاستنزاف كخدمة (DaaS) باسم CG (CryptoGrab)، الذي يدير برنامج تابع يضم 10000 عضو يتحدثون بالروسية والإنجليزية والصينية.
وأشارت شركة Cyfirma في تقرير نشرته في نهاية الشهر الماضي إلى أن أحد التهديدات التي تستهدف قنوات Telegram التي يديرونها المحتالون هي استخدام روبوت Telegram الذي يمكنهم من تنفيذ عمليات الاحتيال دون التعرض لأي تبعيات من جهة ثالثة.
يسمح الروبوت للمستخدم بالحصول على نطاق مجاني، ونسخ القالب الموجود للمجال الجديد، وتحديد عنوان المحفظة حيث يتم إرسال الأموال المحتالة، بالإضافة إلى توفير حماية Cloudflare لهذا النطاق الجديد.
تم ملاحظة أيضًا أن مجموعة التهديد تستخدم روبوتين برقية مخصصين يُسميان SiteCloner وCloudflarePage لنسخ مواقع ويب شرعية موجودة وإضافة حماية Cloudflare إليها. بعد ذلك، يتم توزيع هذه الصفحات بشكل رئيسي باستخدام حسابات X المخترقة (سابقاً تويتر).