نفوذ هکرها به وردپرس از طریق یک افزونه

کمیته رکن چهارم – هکرها با سوءاستفاده از یک آسیب‌پذیری در افزونه وردپرس که ۲۰۰ هزار نصب داشت، به برخی وب‌سایت‌ها حمله کردند.

هکرها از یک آسیب‌پذیری روز صفر افزایش امتیاز در افزونه وردپرس به نام «Ultimate Member» برای به خطر انداختن وب‌سایت‌ها با دور زدن اقدامات امنیتی و ثبت حساب‌های سرپرست سوءاستفاده می‌کنند.

Ultimate Member یک افزونه پروفایل کاربری و عضویت است که ثبت نام و ایجاد انجمن‌ها را در سایت‌های وردپرسی تسهیل می‌کند و در حال حاضر بیش از ۲۰۰ هزار نصب فعال دارد.

نقص مورد سوءاستفاده که با شناسه CVE-2023-3460 ردیابی می‌شود و دارای امتیاز ۹.۱ (بحرانی) در سیستم CVSS v3.1 است، همه نسخه‌های افزونه Ultimate Member از جمله آخرین نسخه آن یعنی نسخه ۲.۶.۶ را تحت تأثیر قرار می‌دهد.

در حالی که توسعه دهندگان در ابتدا سعی کردند نقص نسخه‌های ۲.۶.۳، ۲.۶.۴، ۲.۶.۵ و ۲.۶.۶ را برطرف کنند، هنوز راه‌هایی برای سوءاستفاده از این نقص وجود دارد. توسعه‌دهندگان گفته‌اند که به کار برای حل مشکل باقی مانده ادامه می‌دهند و امیدوارند به زودی یک به‌روزرسانی جدید منتشر کنند.

توسعه‌دهندگان Ultimate Member هشدار دادند که همه نسخه‌های پیشین این افزونه آسیب‌پذیر هستند، بنابراین توصیه می‌شود همه کاربران از نسخه‌های به‌روز شده استفاده کنند و سعی کنند وب‌سایت خود را به‌روز نگه دارند تا مشکلی برای اطلاعات وب‌سایت‌ها پیش نیاید.

حملاتی که از این آسیب‌پذیری روز صفر سوءاستفاده می‌کنند توسط متخصصان امنیت وب‌سایت در Wordfence کشف شده‌اند که هشدار می‌دهند عوامل تهدید با استفاده از فرم‌های ثبت افزونه برای تنظیم مقادیر متای کاربر دلخواه در حساب‌های خود از آن سوء‌استفاده می‌کنند.

به طور خاص، مهاجمان مقدار متای کاربر «wp_capabilities» را برای تعریف نقش کاربری خود به عنوان سرپرست تعیین می‌کنند و به آن‌ها دسترسی کامل به سایت آسیب‌پذیر را می‌دهند.

این افزونه دارای یک فهرست سیاه برای کلیدهایی است که کاربران نباید امکان ارتقای آن‌ها را داشته باشند. با این حال، Wordfence می‌گوید دور زدن این اقدام حفاظتی بی‌اهمیت است.

سایت های وردپرسی که با استفاده از CVE-2023-3460 در این حملات هک شده‌اند، شاخص‌های زیر را نشان می‌دهند:

ظاهر شدن اکانت‌های ادمین جدید در وب‌سایت

استفاده از نام‌های کاربری wpenginer، wpadmins، wpengine_backup، se_brutal، segs_brutal

سوابق گزارش نشان می‌دهد که IPهای شناخته شده به عنوان مخرب به صفحه ثبت نام نهایی عضو دسترسی پیدا کرده‌اند

نشان داده شدن رکوردهای گزارش دسترسی از ۱۴۶.۷۰.۱۸۹.۲۴۵، ۱۰۳.۱۸۷.۵.۱۲۸، ۱۰۳.۳۰.۱۱.۱۶۰، ۱۰۳.۳۰.۱۱.۱۴۶، و ۱۷۲.۷۰.۱۴۷.۱۷۶

ظاهر یک حساب کاربری با آدرس ایمیل مرتبط با «exelica.com»

نصب افزونه‌ها و تم‌های جدید وردپرس در سایت

به دلیل این که نقص حیاتی بدون وصله باقی می‌ماند و بهره‌برداری از آن بسیار آسان است، WordFence توصیه می‌کند که افزونه Ultimate Member بلافاصله حذف شود.

WordFence توضیح می‌دهد که حتی قانون فایروال که به طور خاص برای محافظت از مشتریان خود در برابر این تهدید ایجاد کرده است، تمام سناریوهای بهره‌برداری بالقوه را پوشش نمی‌دهد، بنابراین حذف افزونه تا زمانی که فروشنده آن مشکل را برطرف کند، تنها اقدام محتاطانه است.

اگر بر اساس IoCهای به اشتراک گذاشته شده در بالا مشخص شود که سایتی در معرض خطر قرار گرفته است، حذف افزونه برای جبران خطر کافی نخواهد بود.

در این موارد، صاحبان وب‌سایت‌ها باید اسکن‌های کامل بدافزار را اجرا کنند تا بقایای آثار این بدافزار مانند حساب‌های ادمین اضافه و هر درپشتی که ایجاد کرده است، از بین بروند.

منبع: افتانا