افزونه‌های وردپرس آسیب‌پذیری امنیتی وخیم دارند

گروه IT: گروه امنیتی Wordfence آسیب‌پذیری‌ امنیتی مهمی را در وردپرس پیدا کرده‌اند که مجرمان سایبری از یک ماه پیش از آن‌ها سوءاستفاده می‌کنند. مجرمان با استفاده از آسیب‌پذیری‌های مذکور، امکان ساخت حساب‌های کاربری مدیر سیستم (Admin) دارند. تحقیق امنیتی اخیر نشان می‌دهد که مجرمان هنوز از آسیب‌پذیری‌ها سوءاستفاده می‌کنند.

 

به گزارش بولتن نیوز به نقل از زومیت، محققان امنیتی به این نتیجه رسیدند که مجرمان با استفاده از آسیب‌پذیری موجود در افزونه‌های وردپرس، کدهای مخرب جاوااسکریپت را در وب‌سایت‌های قربانی تزریق می‌کنند. پس از تزریق کدها در بخش ظاهری (Front end)، کاربران به سمت محتوای مخرب هدایت می‌شوند. در توضیح محتوای مخرب می‌توان انواع سرویس‌های نصب بدافزار یا وب‌سایت‌هایی با هدف دزدیدن اطلاعات کاربران را نام برد. بسیرای از حمله‌ها نیز به‌صورت ماهرانه مخفی می‌شوند تا ابزارهای مبتنی بر WAF یا IDS توانایی شناسایی آن‌ها را نداشته باشند.

بررسی محققان Wordfence نشان داد که حمله به وب‌سایت‌های وردپرسی از IPهای متنوعی صورت می‌گیرد و البته برخی از آن‌ها به ارائه‌کننده‌های خدمات هاستینگ مربوط می‌شوند. البته پس از آنکه اخبار آسیب‌پذیری منتشر شد، بسیاری از IPها عملیات خراب‌کارانه‌ی خود را متوقف کردند. مایکی وینسترا از محققان Wordfence در یک پست وبلاگی توضیح داد که اکثر حمله‌ها به وب‌سایت‌های وردپرسی از یک آدرس IP شروع می‌شده‌اند:

    IP مورد نظر، 104.130.139.134 است که به سرورهای Rackspace تعلق دارد و بسیاری از وب‌سایت‌های قربانی در آن پشتیبانی می‌شوند. ما با Rackspace تماس گرفتیم و تهدید مذکور را برای آن‌ها شرح دادیم. امیدوار هستیم که هرچه سریع‌تر راهکاری برای جلوگیری از حمله‌های مشابه از طریق سرورهای مذکور پیاده‌سازی شود. البته هنوز پاسخی دریافت نکرده‌ایم.

 

حمله‌هایی که توسط گروه محققان کشف شدند، از آسیب‌پذیری‌های مشهور در افزونه‌های وردپرس استفاده می‌کنند. از میان مشهورترین آن‌ها می‌توان به افزونه‌های nd-booking، nd-travel و nd-learning از NicDark اشاره کرد.

تحقیق اولیه‌ روی کمپین مجرمان سایبری نشان می‌داد که اسکریپت‌های مخرب به وب‌سایت تزریق می‌شوند. اسکریپت‌ها باعث ایجاد آدرس‌های هدایت (redirect) یا پاپ‌آپ برای کاربری می‌شوند که از وب‌سایت قربانی بازدید می‌کند. بررسی عمیق‌تر نشان داد که اسکریپتی دیگر با هدف نصب در پشتی در وب‌سایت هم طی حمله تزریق می‌شود.

درنهایت مانند بسیاری از تحقیق‌های امنیتی، راهکارهای مقابله با نفوذ هم از سوی تیم محققان ارائه شد. در متن بیانیه‌ی مرتبط با حمله‌ی سایبری می‌خوانیم:

    مانند همیشه، به‌روزرسانی افزونه‌ها و تم‌های وردپرس بهترین لایه‌ی امنیتی را در برابر کمپین‌های مجرمان سایبری ایجاد می‌کند. به‌صورت منظم نیاز به به‌روزرسانی را در وب‌سایت خود بررسی کنید و از دریافت آخرین پچ‌های امنیتی مطمئن شوید.