کمیته رکن چهارم – هکرها با سوءاستفاده از یک آسیبپذیری در افزونه وردپرس که ۲۰۰ هزار نصب داشت، به برخی وبسایتها حمله کردند.
هکرها از یک آسیبپذیری روز صفر افزایش امتیاز در افزونه وردپرس به نام «Ultimate Member» برای به خطر انداختن وبسایتها با دور زدن اقدامات امنیتی و ثبت حسابهای سرپرست سوءاستفاده میکنند.
Ultimate Member یک افزونه پروفایل کاربری و عضویت است که ثبت نام و ایجاد انجمنها را در سایتهای وردپرسی تسهیل میکند و در حال حاضر بیش از ۲۰۰ هزار نصب فعال دارد.
نقص مورد سوءاستفاده که با شناسه CVE-2023-3460 ردیابی میشود و دارای امتیاز ۹.۱ (بحرانی) در سیستم CVSS v3.1 است، همه نسخههای افزونه Ultimate Member از جمله آخرین نسخه آن یعنی نسخه ۲.۶.۶ را تحت تأثیر قرار میدهد.
در حالی که توسعه دهندگان در ابتدا سعی کردند نقص نسخههای ۲.۶.۳، ۲.۶.۴، ۲.۶.۵ و ۲.۶.۶ را برطرف کنند، هنوز راههایی برای سوءاستفاده از این نقص وجود دارد. توسعهدهندگان گفتهاند که به کار برای حل مشکل باقی مانده ادامه میدهند و امیدوارند به زودی یک بهروزرسانی جدید منتشر کنند.
توسعهدهندگان Ultimate Member هشدار دادند که همه نسخههای پیشین این افزونه آسیبپذیر هستند، بنابراین توصیه میشود همه کاربران از نسخههای بهروز شده استفاده کنند و سعی کنند وبسایت خود را بهروز نگه دارند تا مشکلی برای اطلاعات وبسایتها پیش نیاید.
حملاتی که از این آسیبپذیری روز صفر سوءاستفاده میکنند توسط متخصصان امنیت وبسایت در Wordfence کشف شدهاند که هشدار میدهند عوامل تهدید با استفاده از فرمهای ثبت افزونه برای تنظیم مقادیر متای کاربر دلخواه در حسابهای خود از آن سوءاستفاده میکنند.
به طور خاص، مهاجمان مقدار متای کاربر «wp_capabilities» را برای تعریف نقش کاربری خود به عنوان سرپرست تعیین میکنند و به آنها دسترسی کامل به سایت آسیبپذیر را میدهند.
این افزونه دارای یک فهرست سیاه برای کلیدهایی است که کاربران نباید امکان ارتقای آنها را داشته باشند. با این حال، Wordfence میگوید دور زدن این اقدام حفاظتی بیاهمیت است.
سایت های وردپرسی که با استفاده از CVE-2023-3460 در این حملات هک شدهاند، شاخصهای زیر را نشان میدهند:
ظاهر شدن اکانتهای ادمین جدید در وبسایت
استفاده از نامهای کاربری wpenginer، wpadmins، wpengine_backup، se_brutal، segs_brutal
سوابق گزارش نشان میدهد که IPهای شناخته شده به عنوان مخرب به صفحه ثبت نام نهایی عضو دسترسی پیدا کردهاند
نشان داده شدن رکوردهای گزارش دسترسی از ۱۴۶.۷۰.۱۸۹.۲۴۵، ۱۰۳.۱۸۷.۵.۱۲۸، ۱۰۳.۳۰.۱۱.۱۶۰، ۱۰۳.۳۰.۱۱.۱۴۶، و ۱۷۲.۷۰.۱۴۷.۱۷۶
ظاهر یک حساب کاربری با آدرس ایمیل مرتبط با «exelica.com»
نصب افزونهها و تمهای جدید وردپرس در سایت
به دلیل این که نقص حیاتی بدون وصله باقی میماند و بهرهبرداری از آن بسیار آسان است، WordFence توصیه میکند که افزونه Ultimate Member بلافاصله حذف شود.
WordFence توضیح میدهد که حتی قانون فایروال که به طور خاص برای محافظت از مشتریان خود در برابر این تهدید ایجاد کرده است، تمام سناریوهای بهرهبرداری بالقوه را پوشش نمیدهد، بنابراین حذف افزونه تا زمانی که فروشنده آن مشکل را برطرف کند، تنها اقدام محتاطانه است.
اگر بر اساس IoCهای به اشتراک گذاشته شده در بالا مشخص شود که سایتی در معرض خطر قرار گرفته است، حذف افزونه برای جبران خطر کافی نخواهد بود.
در این موارد، صاحبان وبسایتها باید اسکنهای کامل بدافزار را اجرا کنند تا بقایای آثار این بدافزار مانند حسابهای ادمین اضافه و هر درپشتی که ایجاد کرده است، از بین بروند.
منبع: افتانا