موج عظیمی از حملات پیوسته علیه بیش از 1.6 میلیون سایت وردپرس توسط محققان در بخش امنیتی وردپرس شناسایی شده است که بیش از 13.7 میلیون حمله را در 36 ساعت گزارش می دهد که تمرکز بر بهره برداری از چهار پلاگین وردپرس مختلف و چندین تم Epsilon است.
کمپین حمله، که از 16000 به علاوه آدرس های مختلف IP حاصل می شود، این امکان را برای مهاجمان فراهم میکند تا از طریق استفاده از بروزرسانی گزینه های دلخواه عملا از سایتهای آسیب پذیر استفاده کنند. محققان توصیه می کنند که تمام سایت ها باید به نسخه های پچ شده از پلاگین ها و تم ها به روز شوند.
Uriel Maimon ، مدیر ارشد فن آوری های نوظهور در خدمات حفاظت از تهدید، می گوید پلاگین های وردپرس همچنان یک خطر عمده برای هر اپلیکیشن وب است، و باعث میشود آنها به یک هدف منظم برای حمله کنندگان تبدیل شوند.
آسیب پذیری یافت شد
محققان Wordfence می گویند که مهاجمان چهار پلاگین شخصی با آسیب پذیری به روز رسانی های دلخواه غیر مجاز(Unauthenticated Arbitrary Options Update Vulnerabilities) را هدف قرار می دهند. از چهار پلاگین، Kiwi Social Share آخرین بار در نوامبر 2018 تأسیس شد. وردپرس اتوماتیک و Pinterest Automatic از اوت 23، 2021 پچ شده است و قابلیت های PublishPress به تازگی در تاریخ 6 دسامبر 2021 پچ شده است.
Wordfence می گوید: "با توجه به شدت این آسیب پذیری ها و کمپین های عظیم که آنها را هدف قرار می دهند، بسیار مهم است تا اطمینان حاصل شود که سایت شما محافظت می شود. ما توصیه می کنیم که هر سایتی که یکی از این پلاگین ها یا تم ها را اجرا می کنند، به نسخه پچ شده به روز شوند. به روز رسانی پلاگین ها و تم ها این اطمینان را فراهم می کند که سایت شما از خطر در برابر هر گونه سوء استفاده که این آسیب پذیری ها را هدف قرار می دهد، ایمن باقی می ماند. "
محققان Wordfence همچنین فعالیت های بسیار کمی از سوی مهاجمان مشاهده کردند که هر کدام از این آسیب پذیری ها را تا 8 دسامبر 2021 هدف قرار دادند، به این باور رسیدند که آسیب پذیری اخیرا پچ شده در PublishPress می تواند مهاجمان را تشویق کند تا آسیب پذیری های مختلف دلخواه را به عنوان بخشی از مبارزات عظیم به روز رسانی کنند .
به گفته Maimon : "Shadow Code معرفی شده از طریق پلاگین های شخص ثالث و چارچوب ها به طور گسترده سطح حمله را برای وب سایت ها گسترش می دهد. در نتیجه، صاحبان وب سایت باید نسبت به پلاگین ها و چارچوب های شخص ثالث هوشیار باشند و در سطح بالای به روز رسانی های امنیتی بمانند. آنها باید وب سایت های خود را با استفاده از فایروال های وب حفظ کنند . علاوه بر این، مهاجمان نیز یک آسیب پذیری فانکشن اینجکشن را در زمینه های مختلف هدف قرار می دهند.
تم های Epsilon Framework که مورد هدف قرار گرفته اند عبارتند از: Shapely, NewsMag, Activello, Illdy, Allegiant, Newspaper X, Pixova Lite, Brilliance, MedZone Lite, Regina Lite, Transcend, Affluent, Bonkers, Antreas and NatureMag Lite
پلاگین های آسیب دیده
پلاگین های آسیب دیده و نسخه های آنها عبارتند از: PublishPress Capabilities <= 2.0.10 - این تمام مجوز ها(permission) را بر روی یک سایت وردپرس کنترل می کند و راه آسانی برای مدیریت کاربران از طریق ارائه خدمات مانند دسترسی به نقش کاربر، مجوز ویرایش، است. این بیش از 100،000 نصب فعال دارد.
پلاگین دوم پلاگین Kiwi Social Plugin <= 2.0.10 است که دارای بیش از 10،000 نصب فعال است؛ این به کاربر مجوز می دهد تا اجازه دهد بازدید کنندگان سایت محتوای رسانه های اجتماعی را به اشتراک بگذارند. در حالی که Pinterest Automatic <= 4.14.3 به پین خودکار تصاویر از پست های کاربران به Pinterest.com کمک می کند. این بیش از 7،416 نصب دارد.
آخرین پلاگینی که تحت تاثیر قرار می گیرد WordPress Automatic <= 3.53.2 است که دارای بیش از 28،825 پیاده سازی است و به پست از تقریبا هر وب سایتی به WordPress کمک میکند. همچنین می توانید از سایت های محبوب مانند YouTube و توییتر با استفاده از API های خود و یا تقریبا هر وب سایت انتخابی کاربر ماژول های خرابکاری خود را وارد کند.
محققان Wordfence به کاربران توصیه میکنند حسابهای کاربری را در سایت مرور کنند تا مشخص شود که آیا حسابهای کاربری غیرمجاز وجود دارد یا خیر.
Wordfence می گوید "اگر سایت یک نسخه آسیب پذیر از هر یک از چهار پلاگین یا تم های مختلف را اجرا کند و یک حساب کاربری Rogue موجود باشد، پس آن سایت احتمالا از طریق یکی از این پلاگین ها به خطر افتاده است. لطفا هر گونه حساب کاربری شناسایی شده را بلافاصله حذف کنید." "همچنین مهم است که تنظیمات سایت را بررسی کنید و اطمینان حاصل کنید که آنها به وضعیت اصلی خود بازگشته اند."
در ماه اکتبر، محققان Wordfence یک پلاگین وردپرس را در بیش از 1 میلیون وب سایت مشاهده کردند که به شدت آسیب پذیر بودند. این اولین آسیب پذیری در پلاگین های وردپرس نیست که محققان Wordfence هشدار داده اند. در ماه مارس، آنها گزارش دادند که یک پلاگین وردپرس به نام Tutor LMS دارای چندین آسیب پذیری مرتبط با نقطه پایانی AJAX محافظت نشده بود. این معایب بعدا پچ شد.
آدرس:
مشهد، خیابان امام خمینی، خیابان شهید تولایی، اداره کل پست استان خراسان رضوی، طبقه چهارم، پارک فاوا
تلفن : 38786624-051
رایانامه : anamad400[at]gmail[dot]com
تمام حقوق مادی و معنوی این سامانه متعلق به تیم امنیتی ای نماد می باشد.