Siber Muhbir

CVE-2024-1071 olarak izlenen güvenlik açığı, maksimum 10 üzerinden 9,8 CVSS puanı taşıyor. Güvenlik araştırmacısı Christiaan Swiers, kusuru keşfetme ve bildirme konusunda kredilendirildi.

Geçen hafta yayınlanan bir danışma belgesinde, WordPress güvenlik şirketi Wordfence, eklentinin "kullanıcı tarafından sağlanan parametrede yetersiz kaçış ve mevcut SQL sorgusunda yeterli hazırlık olmaması nedeniyle 2.1.3 ila 2.8.2 sürümlerindeki 'sıralama' parametresi aracılığıyla SQL Enjeksiyonuna karşı savunmasız olduğunu" söyledi.

Sonuç olarak, kimliği doğrulanmamış saldırganlar, zaten var olan sorgulara ek SQL sorguları eklemek ve veritabanından hassas verileri ayıklamak için kusurdan yararlanabilir.

Sorunun yalnızca eklenti ayarlarında "Kullanıcı metası için özel tabloyu etkinleştir" seçeneğini işaretleyen kullanıcıları etkilediğini belirtmekte fayda var.

30 Ocak 2024'teki sorumlu açıklamanın ardından, eklenti geliştiricileri tarafından 19 Şubat'ta 2.8.3 sürümünün yayınlanmasıyla kusur için bir düzeltme yapıldı.

Kullanıcıların, özellikle Wordfence'in son 24 saat içinde kusurdan yararlanmaya çalışan bir saldırıyı zaten engellediği gerçeği ışığında, potansiyel tehditleri azaltmak için eklentiyi mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir.

Temmuz 2023'te, aynı eklentideki başka bir eksiklik (CVE-2023-3460, CVSS puanı: 9.8), tehdit aktörleri tarafından hileli yönetici kullanıcılar oluşturmak ve savunmasız sitelerin kontrolünü ele geçirmek için aktif olarak kullanıldı.

Gelişme, Angel Drainer gibi kripto boşaltıcıları doğrudan enjekte etmek veya site ziyaretçilerini süzgeçler içeren Web3 kimlik avı sitelerine yönlendirmek için güvenliği ihlal edilmiş WordPress sitelerinden yararlanan yeni bir kampanyadaki artışın ortasında geliyor.

Sucuri araştırmacısı Denis Sinegubko, "Bu saldırılar, Web3 ekosisteminin doğrudan cüzdan etkileşimlerine olan bağımlılığından yararlanmak için kimlik avı taktiklerinden ve kötü niyetli enjeksiyonlardan yararlanarak hem web sitesi sahipleri hem de kullanıcı varlıklarının güvenliği için önemli bir risk oluşturuyor" dedi.

Ayrıca, Rusça, İngilizce ve Çince konuşanlardan oluşan 10.000 üyeli güçlü bir ortaklık programı yürüten CG (CryptoGrab'in kısaltması) adlı yeni bir hizmet olarak süzgeç (DaaS) planının keşfini takip ediyor.

Cyfirma, geçen ayın sonlarında yayınladığı bir raporda, aktörler tarafından kontrol edilen Telegram kanallarından birinin "saldırganları, dolandırıcılık operasyonlarını herhangi bir üçüncü taraf bağımlılığı olmadan yürütmelerini sağlayan bir telgraf botuna yönlendirdiğini" söyledi.

"Bot, bir kullanıcının ücretsiz olarak bir alan adı almasına, yeni alan adı için mevcut bir şablonu klonlamasına, dolandırılan fonların gönderilmesi gereken cüzdan adresini ayarlamasına ve ayrıca bu yeni alan adı için Cloudflare koruması sağlamasına olanak tanır."

Tehdit grubunun, mevcut, meşru bir web sitesini klonlamak ve ona Cloudflare koruması eklemek için SiteCloner ve CloudflarePage adlı iki özel telgraf botu kullandığı da gözlemlendi. Bu sayfalar daha sonra çoğunlukla güvenliği ihlal edilmiş X (eski adıyla Twitter) hesapları kullanılarak dağıtılır.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.