آسيب پذيري خطرناك File Manager وردپرس هزاران وبسايت را متأثر ميكند
محققان حوزهي امنيت سهشنبهي گذشته اطلاعيهي نگرانكنندهاي منتشر كردند. بر اساس ادعاي اين محققان، هكرها بهصورت فعالانه درحال بهرهبرداري از آسيبپذيري جديدي هستند كه به آنها اجازه ميدهد دستورها و اسكپريتهاي مخرب را درون وبسايتهايي كه داراي فايل منيجر وردپرس (Wordpress File Manager) وردپرس هستند، اجرا كنند. فايل منيجر يكي از پلاگينهاي وردپرس است كه طبق آمار، بيش از ۷۰۰٬۰۰۰ نصب فعال دارد. خبر مربوط به حملات سايبري عليه سايتهاي وردپرس داراي اين پلاگين، ساعاتي پس از برطرف شدن اشكال امنيتي موردمباحثه اعلام شد تا سايتها بيشازپيش موردسوءاستفادهي هكرها قرار نگيرند.
هكرها از نقص امنيتي فايل منيجر وردپرس براي آپلود كردن فايلهايي استفاده ميكنند كه حاوي نوعي پوستهي وب (وبشل) خاص است؛ محققان ميگويند اين پوستهي وب درون عكسها پنهان ميشود. از اين مرحله به بعد، رابط متخصصي راحتي دردسترس هكرها قرار ميگيرد كه به آنها امكان اجرا كردن دستورها مختلف را ازطريق وارد كردن كد ميدهد؛ هكر اين دستورها را در /plugins/wp-file-manager/lib/files اعمال ميكند. اين، همان دايركتورياي است كه فايل منيجر وردپرس در آن قرار دارد.
اگر به فرايند كلي دقت كنيد ميبينيد كه عملا هكرها نميتوانند كدهاي مخرب را در جاهايي كه خارج از دايركتوي موردمباحثه قرار دارند وارد كنند. بااينحال آنطور كه محققان امنيتي ميگويند هكرها ازلحاظ تئوري ميتوانند با آپلود كردن اسكريپهايي كه توانايي اثرگذاري روي ديگر بخشهاي وبسايتهاي آسيبپذير را دارند، آسيبهاي بيشتري به سايت وارد كنند.
نينتكنت (NinTechNet) شركتي در حوزهي امنيت وبسايتها است كه در بانكوكِ تايلند واقع شده؛ اين شركت جزو نخستين شركتهاي امنيتي بود كه اعلام كرد حملات سايبري متعددي با استفاده از آسيبپذيري جديد وردپرس عليه وبسايتها ترتيب داده شده است. نينتكنت در بيانيهي جديد خود مينويسد توانسته هكري را پيدا كند كه ميخواسته با استفاده از آسيبپذيري فايل منيجر، اسكپريتي را با عنوان hardfork.php در سايت آپلود كند و سپس از اين اسكريپت براي تزريق كدهاي مخرب به اسكريپتهاي وردپرس در دايركتوري /wp-admin/admin-ajax.php و /wp-includes/user.php بهره بگيرد.
جروم برواندت، مديرعامل نينتكنت، در رايانامهي كه براي رسانهي وايرد ارسال كرده است مينويسد فعلا زود است كه بخواهيم آثار دقيق اين آسيبپذيري جديد را مشخص كنيم؛ زيرا طبق گفتهي او، هنگامي كه نينتكنت متوجه حملات سايبري شده، فهميده كه هكرها مشغول قرار دادن بكدور در وبسايتها بودهاند. او ميگويد شركت تحت مديريتش متوجه شده شماري از هكرها مشغول تزريق برخي كدها بودهاند تا بتوانند روي فايل آسيبپذير (connector.minimal.php) رمز عبور بگذارند؛ هدف اصلي هكر اين است كه با قرار دادن رمز عبور روي فايل آسيبپذير، نگذارد هكرهاي ديگر در وبسايتهايي كه پيشتر متأثر شدهاند اقدامات جديد انجام دهند.
تمامي دستورها را ميتوان در فولدر lib/files/ انجام داد (كارهايي مثل ايجاد فولدر جديد، حذف فولدر و...)، بااينحال مهمترين اشكال اين است كه هكر ازلحاظ تئوري ميتواند اسكريپتهاي PHP را هم در همان فولدر آپلود كند. پس از آپلود اسكريپت، هكر آن را اجرا ميكند و هر كاري را كه بخواهد در وبسايت انجام ميدهد.
مطالعهها نشان ميدهد كه هكرها عمدتا مشغول آپلود كردن فايلي با نام FilesMan بودهاند؛ از FilesMan بهعنوان نوع ديگري از ابزار مديريت فايل ياد ميشود كه اغلب اوقات توسط هكرها مورداستفاده قرار ميگيرد. اطلاعات بسيار كمي دربارهي اين ابزار مديريت فايل وجود دارد. در ساعات و روزهاي آينده به جزئيات بيشتري در اين زمينه دست پيدا خواهيم كرد؛ زيرا انتظار داريم هكرهايي كه فايلهاي آسيبپذير را رمزگذاري كردهاند تا هكرهاي ديگر امكان دسترسي به آنها را نداشته باشند، بهزودي مجددا به سايتها سر بزنند.
شركت امنيتي وردفنس (Wordfence) كه همچون نينتكنت در حوزهي امنيت وبسايت فعاليت ميكند بيانيهي مجزايي منتشر كرده است. اين شركت در بيانيهي خود ميگويد طي چند روز اخير بيش از ۴۵۰٬۰۰۰ بار از بهرهبرداري از آسيبپذيري جديد توسط هكرها جلوگيري كرده. اين بيانيه ميگويد هكرها در تلاشاند فايلهاي متنوعي در سايتها آپلود كنند تا اگر اين كار را با موفقيت انجام دادند، بعدا فايل مخرب را هم به سايت تزريق كنند. فايلهاي آپلودشده توسط هكرها داراي نامهايي همچون hardfork.php و hardfind.php بودهاند.
توليدكنندگان فايل منيجر وردپرس رسما اعلام كردند ادعاهاي مطرحشده از سوي ويله كورهونن، محقق شركت Seravo كه براي نخستين بار آسيبپذيري جديد را كشف و آن را گزارش كرد، واقعي است. يكي از محققان امنيتي در توييتر ضمن اشارهبه «جدي بودن» آسيبپذيري جديد وردپرس نوشت كه اين آسيبپذيري بهسرعت در حال پخش شدن است و صدها وبسايت با اشكال مواجه شدهاند. او گفت فايلهاي مخرب در /wp-content/plugins/wp-file-manager/lib/files آپلود ميشوند.
آسيبپذيري موردمباحثه در نسخههاي ۶٫۰ تا ۶٫۸ فايل منيجر وردپرس وجود دارد. آمار منتشرشده ازسوي وردپرس نشان ميدهد در حدود ۵۲ درصد از نصبهاي فعال فايل منيجر، آسيبپذير هستند؛ با درانديشه متخصصينگرفتن اين حقيقت كه تعداد نصبهاي فعال مرز ۷۰۰٬۰۰۰ وبسايت را رد كرده، بايد بگوييم كه وبسايتهاي زيادي آسيبپذيرند و همين موضوع پتانسيل آسيب رسيدن به شمار درخورتوجهي از وبسايتها را بالا ميبرد. تمامي سايتهايي كه داراي نسخههاي ۶٫۰ تا ۶٫۸ فايل منيجر هستند بايد در سريعترين زمان ممكن به نسخهي ۶٫۹ بهروزرساني شوند.
براي كسب جزئيات بيشتر دربارهي آسيبپذيري جديد وردپرس ميتوانيد به گزارش خبرگزاري وايرد مراجعه كنيد.
هم انديشي ها