وب‌سایت های وردپرسی درمعرض آسیب‌پذیری قرار دارند!

مؤسسه‌ی امنیت سایبری Miscreants گزارش داده است که ۱/۶ میلیون وب‌سایت را بررسی کرده است تا امکان آلوده‌سازی آن‌ها ازطریق آسیب‌پذیری File Upload در پلاگین وردپرس را ارزیابی کند که پیش‌تر کفش شده بود.

آسیب‌پذیری یادشده با شناسه‌ی CVE-2021-24284 ثبت شده است که نقص فنی افزونه‌ی صفحه‌ساز وردپرس Kaswara Modern VC را نشان می‌دهد. براساس گزارش‌ها، این نقص فنی امکان بارگذاری فایل‌های جاوااسکریپت مخرب را برای هکر فراهم می‌کند؛ علاوه‌براین، هکر می‌تواند با نفوذ از این طریق حتی وب‌سایت یک سازمان را کاملاً دراختیار بگیرید.

شرکت Wordfence سه ماه پیش نقص فنی مذکور را کشف کرد و این هفته در پیامی هشدار داد که هکرها در حال افزایش حملات خود هستند. این شرکت امنیتی متمرکز بر وردپرس ادعا می‌کند که به‌طورمتوسط روزانه ۴۴۳٬۸۶۸ حمله روی وب‌سایت‌های مشتریانش را مسدود می‌کند.

توسعه‌دهندگان نرم‌افزار نیز تلاشی برای رفع نقص فنی افزونه نکردند و به‌طورکلی افزونه را متوقف کردند؛ بنابراین، تمامی نسخه‌ها دربرابر این نقص ناامن هستند. عده‌ای بر این باورند که بین ۴٬۰۰۰ تا ۸٬۰۰۰ وب‌سایت همچنان از این پلاگین آسیب‌پذیر استفاده می‌کنند و می‌گویند که ۱٬۵۹۹٬۸۵۲ وب‌سایت هدف حمله‌ی هکرها قرار گرفته‌اند که خوشبختانه بخش اعظمی از آن‌ها پلاگین آسیب‌پذیر را اجرا نمی‌کردند.

اگر جزو افرادی هستید که هنوز از این پلاگین آسیب‌پذیر ناامن استفاده می‌کنید، همین الآن بهتر است که آن را حذف کنید. گذشته‌ از آسیب‌پذیری مستقیم، حتی اگر به وب‌سایتی مستقیماً حمله نشود، همچنان خطر آسیب دیگر وب‌سایت‌ها بر سایرین اثر می‌گذارد. برای مثال، هکر ممکن است از وب‌سایتی آلوده برای فیشینگ یا میزبانی بدافزار سوءاستفاده کند. بنابراین، باید در نظر گرفت که چگونه پلاگین‌های کوچک می‌توانند به جرایم سایبری گسترده‌تر در سطح اینترنت دامن بزنند.

شرکت Wordfence در اطلاعیه‌ی هشدارآمیز خود توصیه کرده است که افزونه‌ی Kaswara Modern WPBakery Page Builder باید در اسرع وقت و به‌طورکامل حذف شود. همچنین، افزونه‌ی دیگری باید به‌عنوان جایگزین آن پیدا شود؛ زیرا این پلاگین هرگز وصله‌ی امنیتی مناسبی برای رفع این آسیب‌پذیری دریافت نخواهد کرد.

وردفنس درادامه درباره‌ی روش اجرای حمله‌ی هکرها توضیح داد. مهاجمان اغلب فرایند هک را با درخواست POST به «/wp-admin/admin-ajax.php» با استفاده از عملیات AJAX در uploadFontIcon پلاگین انجام می‌دهند که به آنان اجازه می‌دهد فایل‌های آلوده را در وب‌سایت قربانی بارگذاری کنند.

در لاگ‌های وب‌سایت دچارحمله‌شده می‌توان این رشته کوئری را مشاهده کرد:

/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

همچنین، گزارش شده است که ۱۰ آی‌پی زیر بیشترین تلاش برای هک را انجام داده‌اند:

• ۲۱۷.۱۶۰.۴۸.۱۰۸ با ۱٬۵۹۱٬۷۶۵ تلاش مسدودشده
• ۲.۵.۹.۲۹ با ۸۹۸٬۲۴۸ تلاش مسدودشده
• ۲.۵۸.۱۴۹.۳۵ با ۳۹۰٬۸۱۵ تلاش مسدودشده
• ۲۰.۹۴.۷۶.۱۰ با ۲۷۶٬۰۰۶ تلاش مسدودشده
• ۲۰.۲۰۶.۷۶.۳۷ با ۲۱۲٬۷۶۶ تلاش مسدودشده
• ۲۰.۲۱۹.۳۵.۱۲۵ با ۱۸۷٬۴۷۰ تلاش مسدودشده
• ۲۰.۲۲۳.۱۵۲.۲۲۱ با ۱۰۲٬۶۵۸ تلاش مسدودشده
• ۵.۳۹.۱۵.۱۶۳ با ۶۲٬۳۷۶ تلاش مسدودشده
• ۱۹۴.۸۷.۸۴.۱۹۵ با ۳۲٬۸۹۰ تلاش مسدودشده
• ۱۹۴.۸۷.۸۴.۱۹۳ با ۳۱٬۳۲۹ تلاش مسدودشده

بسیاری از حمله‌ها شامل تلاش برای بارگذاری فایلی با نام a57bze8931.zip هستند که به‌محض نصب‌شدن، به مهاجم اجازه می‌دهد نرم‌افزارهای مخرب دیگری را همواره روی وب‌سایت قربانی بارگذاری کند. علاوه‌براین طبق گزارش وردفنس، برخی از حمله‌ها نیز شامل نشانه‌هایی از تروجان NDSW می‌شوند. این تروجان بازدیدکنندگان وب‌سایت را به وب‌سایت‌های مخرب هدایت می‌کند. بنابراین، پیش‌ از اینکه مشکل بزرگی به‌وجود بیاید، باید همه‌ی وب‌سایت‌ها این افزونه‌ی ناامن را به‌طورکامل حذف کنند.

منبع: وب سایت زومیت