By | 3 شهریور 1402
0 Comment
آسیب پذیری در وردپرس

آسیب پذیری جدیدی در وردپرس شناسایی شده است. این آسیب پذیری در وردپرس با بدافزار جدید لینوکسی همراه است که از 30 اکسپلویت برای backdoor سایت های وردپرس استفاده می کند.

آسیب پذیری جدیدی در وردپرس شناسایی شده است.

این حمله با تزریق کد جاوا اسکریپت مخرب عمل می کند.

این بدافزار سیستم های لینوکس 32 بیتی و 64 بیتی را هدف قرار می دهد و به اپراتور خود قابلیت اجرای کنترل فرمان از راه دور را می دهد.

عملکرد اصلی این تروجان هک سایت های وردپرس با استفاده از مجموعه ای از اکسپلویت های کدگذاری شده است که به صورت متوالی اجرا می شوند، تا زمانی که یکی از آنها کار کند.

این بدافزار که با نام Linux.BackDoor.WordPressExploit.1 شناخته می‌شود، می‌تواند به یک صفحه وب خاص حمله کند، به حالت آماده به کار تغییر وضعیت دهد، خود را خاموش کند و یا حتی فعالیت‌های گزارش‌گیری خود را متوقف کند.

نسخه به روز شده بدافزار Linux.BackDoor.WordPressExploit.2 دارای سرور C&C و آدرس دامنه متفاوت برای دانلود کد جاوا اسکریپت مخرب است و آسیب پذیری های بیشتری را ایجاد می کند.

پلاگین ها و تم های مورد نظر به شرح زیر است:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

اگر وب سایت مورد نظر یک نسخه قدیمی و آسیب پذیر از موارد بالا را اجرا کند، بدافزار بطور خودکار کد جاوا اسکریپت مخرب را از سرور فرمان و کنترل خود (command and control:C&C) دریافت می کند و اسکریپت را به وب سایت تزریق می کند.

آسیب پذیری در وردپرس

کد تغییر مسیر تزریق شده به وبسایت (Dr. Web)

صفحات آلوده به‌عنوان هدایت‌کننده‌های مکانی(به انتخاب مهاجم) عمل می‌کنند، بنابراین این متد در سایت‌های قدیمی عملکرد بهتری دارد.

این تغییر مسیرها ممکن است در اجرای فیشینگ، توزیع بدافزار و تبلیغات مضر برای کمک به فرار از شناسایی و مسدود کردن استفاده شود.

یک نسخه به روز شده از بدافزار که توسط دکتر وب شناسایی شده است افزونه های وردپرس زیر را نیز هدف قرار می دهد:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

در حال حاضر در نسخه های جدید این افزونه‌ ها همچنان درب پشتی(backdoor) فعال است. این بدافزار امکان حملات شدید علیه حساب های مدیر وب سایت را نیز فراهم می کند.

برای محافظت در برابر این تهدیدات، مدیران وب‌سایت‌های وردپرس باید تم‌ها و افزونه‌های در حال اجرا در سایت را به آخرین نسخه موجود بروزرسانی کنند و آن‌هایی را که دیگر توسعه نمی‌یابند با ابزارهایی که پشتیبانی می‌شوند جایگزین کنند.

استفاده از رمزهای عبور قوی و فعال کردن مکانیسم احراز هویت دو مرحله ای باعث بالا بردن امنیت شما در برابر حملات brute-force می شود.

سخن پایانی

وردپرس به دلیل محبوبیت زیاد همیشه یک هدف سودآور برای مجرمان سایبری بوده است. به مدیران وب‌سایت‌های وردپرسی پیشنهاد می‌شود که تم‌ها و افزونه‌های در حال اجرا در سایت  خود را به آخرین نسخه بروز رسانی نمایند.علاوه بر این ابزارهایی را که دیگر توسعه نیافته اند و نسخه جدیدی از آنها منتشر نمی شود و منسوخ شده اند را با ابزار جدیدی جایگزین کنند.

در نهایت، همیشه از رمزهای عبور قوی استفاده کنید و احراز هویت دو مرحله ای را نیز فعال کنید.

 

منابع:

Bleepingcomputer

Cyware

Dr. Web

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *