اکسپلویت جدید وردپرس

شناسایی اکسپلویت جدید وردپرس زنگ خطر جدیدی برای سایت های وردپرسی است.

اکسپلویت جدید وردپرس یک بدافزار لینوکسی است که البته قبلاً ناشناخته بود. این اکسپلویت جدید وردپرس از 30 آسیب پذیری در چندین افزونه و تم برای تزریق کد اسکریپت جاوا اسکریپت مخرب خود استفاده می کند.

 

بدافزار جدیدی کشف شده است که از 30 اکسپلویت پلاگین وردپرس برای backdoor سایت های وردپرس استفاده می کند.

 

این بدافزار سیستم های لینوکس 32 بیتی و 64 بیتی را هدف قرار می دهد و به اپراتور خود قابلیت فرمان کنترل از راه دور را می دهد.

برای توضیح بیشتر در این زمینه باید گفت که عملکرد اصلی تروجان هک کردن سایت های وردپرس با استفاده از مجموعه ای از اکسپلویت های کدگذاری شده است که به صورت متوالی اجرا می شوند، تا زمانی که یکی از آنها کار کند.

پلاگین ها و تم های کشف شده اکسپلویت جدید وردپرس به شرح زیر است:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid

اگر سایت هدف یک نسخه قدیمی و آسیب پذیر از هر یک از موارد بالا را اجرا کند، بدافزار به طور خودکار اسکریپت جاوا اسکریپت مخرب را از سرور فرمان و کنترل(C2) خود دریافت می کند و اسکریپت را به وب سایت تزریق(inject) می کند.

کد تغییر مسیر تزریقی (Dr. Web)

صفحات آلوده به انتخاب مهاجم و براساس موقعیت مکانی هدف تعیین می شود. نکته قابل توجه دیگر این است که این بدافزار در سایت‌های قدیمی تر عملکرد بهتری دارد.

این تغییر مسیرها ممکن است در فیشینگ، توزیع بدافزار و حتی تبلیغات برای کمک به فرار از شناسایی و مسدود کردن استفاده شود. با این حال اپراتورهایی که بصورت خودکار عملیات inject را انجام می دهند ممکن است برای راحتی هکرها خدمات خود را بفروشند. بنابراین کار هکرها و طراحان بدافزار بازهم ساده تر می شود.

دکتر وب یک نسخه بروز شده از این اکسپلویت جدید وردپرس را شناسایی کرده است که افزونه های وردپرس زیر را هدف قرار می دهد:

• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

تحقیقات دکتر وب نشان می دهد که در حال حاضر در افزونه‌های جدید درب پشتی(backdoor) همچنان فعال است.

این بدافزار شامل عملکردی است که امکان حملات بی رحمانه(brute-forcing) علیه حساب های مدیر وب سایت را فراهم می کند.

برای مطالعه بیشتر در مورد حملات brute-forcing به لینک زیر مراجعه کنید:

حمله Brute Force

 

توصیه های امنیتی برای محافظت در برابر این نوع حملات:

برای دفاع در برابر این تهدیدات، مدیران وب‌سایت‌های وردپرس باید تم‌ها و افزونه‌های در حال اجرا در سایت را به آخرین نسخه موجود به‌روزرسانی کنند و آن‌هایی را که دیگر توسعه نمی‌یابند با تم ها و افزونه هایی که پشتیبانی می‌شوند جایگزین کنند.

استفاده از رمزهای عبور قوی و فعال کردن مکانیسم احراز هویت دو مرحله ای(two-factor authentication) می تواند تا حد زیادی شما را در برابر حملات brute-force محافظت کند.

 

 

منابع:

Dr. Web

Bleepingcomputer

Westobserver