Eine kritische Sicherheitslücke wurde in dem weit verbreiteten WordPress-Plugin „Ultimate Member“ aufgedeckt, das mehr als 200.000 aktive Installationen aufweist. Die Schwachstelle, die unter der Kennung CVE-2024-1071 geführt wird, erhielt eine CVSS-Bewertung von 9,8 von maximal 10 Punkten. Der Sicherheitsforscher Christiaan Swiers wurde für die Entdeckung und Meldung der Lücke anerkannt.

Das Sicherheitsunternehmen Wordfence veröffentlichte kürzlich eine Warnung, in der es hieß, das Plugin sei „anfällig für SQL-Injection über den ’sorting‘-Parameter in den Versionen 2.1.3 bis 2.8.2, aufgrund unzureichender Maskierung des vom Benutzer bereitgestellten Parameters und mangelnder Vorbereitung der vorhandenen SQL-Abfrage.“

Dies ermöglicht es nicht authentifizierten Angreifern, zusätzliche SQL-Abfragen in bestehende Abfragen einzufügen und sensible Daten aus der Datenbank zu extrahieren. Betroffen sind Nutzer, die in den Plugin-Einstellungen die Option „Enable custom table for usermeta“ aktiviert haben.

Nach einer verantwortungsvollen Offenlegung am 30. Januar 2024 haben die Entwickler des Plugins mit der Veröffentlichung der Version 2.8.3 am 19. Februar einen Patch bereitgestellt. Nutzern wird dringend empfohlen, das Plugin auf die neueste Version zu aktualisieren, um potenzielle Bedrohungen abzuwehren. Wordfence hat bereits einen Versuch blockiert, die Schwachstelle innerhalb der letzten 24 Stunden auszunutzen.

Im Juli 2023 wurde eine andere Schwachstelle im selben Plugin (CVE-2023-3460, CVSS-Score: 9.8) von Bedrohungsakteuren aktiv ausgenutzt, um unbefugte Admin-Benutzer zu erstellen und die Kontrolle über betroffene Seiten zu übernehmen.

Die Entdeckung erfolgt vor dem Hintergrund einer Zunahme von Kampagnen, die kompromittierte WordPress-Sites nutzen, um Krypto-Drainer wie Angel Drainer einzuschleusen oder Besucher auf Web3-Phishing-Seiten umzuleiten, die solche Drainer enthalten. Diese Angriffe nutzen Phishing-Taktiken und bösartige Injektionen, um die Abhängigkeit des Web3-Ökosystems von direkten Wallet-Interaktionen auszunutzen und stellen ein erhebliches Risiko für Website-Betreiber und die Sicherheit von Benutzervermögen dar, so der Sucuri-Forscher Denis Sinegubko.

Es folgt auch der Entdeckung eines neuen Drainer-as-a-Service (DaaS)-Schemas namens CG (kurz für CryptoGrab), das ein 10.000 Mitglieder starkes Affiliate-Programm umfasst, das russisch-, englisch- und chinesischsprachige Sprecher umfasst. Eine von Bedrohungsakteuren kontrollierte Telegram-Gruppe bietet Angreifern die Möglichkeit, ihre Betrugsoperationen mithilfe eines Telegram-Bots ohne Drittanbieterabhängigkeiten durchzuführen. Der Bot ermöglicht es Benutzern, eine Domain kostenlos zu erhalten, eine vorhandene Vorlage für die neue Domain zu klonen, die Wallet-Adresse für die zu sendenden Betrugsgelder festzulegen und auch Cloudflare-Schutz für diese neue Domain bereitzustellen.

Die Bedrohungsgruppe nutzt auch zwei spezielle Telegram-Bots, SiteCloner und CloudflarePage, um eine bestehende, legitime Website zu klonen bzw. ihr Cloudflare-Schutz hinzuzufügen. Diese Seiten werden hauptsächlich über kompromittierte X (ehemals Twitter) Accounts verbreitet.