آسيب پذيري خطرناك File Manager وردپرس هزاران وب‌سايت را متأثر مي‌كند

محققان حوزه‌ي امنيت سه‌‌شنبه‌ي گذشته اطلاعيه‌ي نگران‌كننده‌اي منتشر كردند. بر اساس ادعاي اين محققان، هكرها به‌صورت فعالانه درحال بهره‌برداري از آسيب‌پذيري جديدي هستند كه به آن‌ها اجازه مي‌دهد دستورها و اسكپريت‌هاي مخرب را درون وب‌سايت‌هايي كه داراي فايل منيجر وردپرس (Wordpress File Manager) وردپرس هستند، اجرا كنند. فايل منيجر يكي از پلاگين‌هاي وردپرس است كه طبق آمار، بيش از ۷۰۰٬۰۰۰ نصب فعال دارد. خبر مربوط به حملات سايبري عليه سايت‌هاي وردپرس داراي اين پلاگين،‌ ساعاتي پس از برطرف شدن اشكال امنيتي موردمباحثه اعلام شد تا سايت‌ها بيش‌ازپيش موردسوءاستفاده‌ي هكرها قرار نگيرند.

هكرها از نقص امنيتي فايل منيجر وردپرس براي آپلود كردن فايل‌هايي استفاده مي‌كنند كه حاوي نوعي پوسته‌ي وب (وب‌شل) خاص است؛ محققان مي‌گويند اين پوسته‌ي وب درون عكس‌ها پنهان مي‌شود. از اين مرحله به بعد، رابط متخصصي راحتي دردسترس هكرها قرار مي‌گيرد كه به آن‌ها امكان اجرا كردن دستورها مختلف را ازطريق وارد كردن كد مي‌دهد؛ هكر اين دستورها را در /plugins/wp-file-manager/lib/files اعمال مي‌كند. اين، همان دايركتوري‌اي است كه فايل منيجر وردپرس در آن قرار دارد.

اگر به فرايند كلي دقت كنيد مي‌بينيد كه عملا هكرها نمي‌توانند كدهاي مخرب را در جاهايي كه خارج از دايركتوي موردمباحثه قرار دارند وارد كنند. بااين‌حال آن‌طور كه محققان امنيتي مي‌گويند هكرها ازلحاظ تئوري مي‌توانند با آپلود كردن اسكريپ‌هايي كه توانايي اثرگذاري روي ديگر بخش‌هاي وب‌سايت‌هاي آسيب‌پذير را دارند، آسيب‌هاي بيشتري به سايت وارد كنند.

نين‌تك‌نت (NinTechNet) شركتي در حوزه‌ي امنيت وب‌سايت‌ها است كه در بانكوكِ تايلند واقع شده؛ اين شركت جزو نخستين شركت‌هاي امنيتي بود كه اعلام كرد حملات سايبري متعددي با استفاده از آسيب‌پذيري جديد وردپرس عليه وب‌سايت‌ها ترتيب داده شده است. نين‌تك‌نت در بيانيه‌ي جديد خود مي‌نويسد توانسته هكري را پيدا كند كه مي‌خواسته با استفاده از آسيب‌پذيري فايل منيجر، اسكپريتي را با عنوان hardfork.php در سايت آپلود كند و سپس از اين اسكريپت براي تزريق كدهاي مخرب به اسكريپت‌هاي وردپرس در دايركتوري /wp-admin/admin-ajax.php و /wp-includes/user.php بهره بگيرد.

جروم برواندت، مديرعامل نين‌تك‌نت، در رايانامهي كه براي رسانه‌ي وايرد ارسال كرده است مي‌نويسد فعلا زود است كه بخواهيم آثار دقيق اين آسيب‌پذيري جديد را مشخص كنيم؛‌ زيرا طبق گفته‌ي او، هنگامي كه نين‌تك‌نت متوجه حملات سايبري شده، فهميده كه هكرها مشغول قرار دادن بك‌دور در وب‌سايت‌ها بوده‌اند. او مي‌گويد شركت تحت مديريتش متوجه شده شماري از هكرها مشغول تزريق برخي كدها بوده‌اند تا بتوانند روي فايل آسيب‌پذير (connector.minimal.php) رمز عبور بگذارند؛ هدف اصلي هكر اين است كه با قرار دادن رمز عبور روي فايل آسيب‌پذير، نگذارد هكرهاي ديگر در وب‌سايت‌هايي كه پيش‌تر متأثر شده‌اند اقدامات جديد انجام دهند.

تمامي دستورها را مي‌توان در فولدر lib/files/ انجام داد (كارهايي مثل ايجاد فولدر جديد، حذف فولدر و...)، بااين‌حال مهم‌ترين اشكال اين است كه هكر ازلحاظ تئوري مي‌تواند اسكريپت‌هاي PHP را هم در همان فولدر آپلود كند. پس از آپلود اسكريپت، هكر آن را اجرا مي‌كند و هر كاري را كه بخواهد در وب‌سايت انجام مي‌دهد.

مطالعه‌ها نشان مي‌دهد كه هكرها عمدتا مشغول آپلود كردن فايلي با نام FilesMan بوده‌اند؛ از FilesMan به‌عنوان نوع ديگري از ابزار مديريت فايل ياد مي‌شود كه اغلب اوقات توسط هكرها مورداستفاده قرار مي‌گيرد. اطلاعات بسيار كمي درباره‌ي اين ابزار مديريت فايل وجود دارد. در ساعات و روزهاي آينده به جزئيات بيشتري در اين زمينه دست پيدا خواهيم كرد؛ زيرا انتظار داريم هكرهايي كه فايل‌هاي آسيب‌پذير را رمزگذاري كرده‌اند تا هكرهاي ديگر امكان دسترسي به آن‌ها را نداشته باشند، به‌زودي مجددا به سايت‌ها سر بزنند.

شركت امنيتي وردفنس (Wordfence) كه همچون نين‌تك‌نت در حوزه‌ي امنيت وب‌سايت فعاليت مي‌كند بيانيه‌ي مجزايي منتشر كرده است. اين شركت در بيانيه‌ي خود مي‌گويد طي چند روز اخير بيش از ۴۵۰٬۰۰۰ بار از بهره‌برداري از آسيب‌پذيري جديد توسط هكرها جلوگيري كرده. اين بيانيه مي‌گويد هكرها در تلاش‌اند فايل‌هاي متنوعي در سايت‌ها آپلود كنند تا اگر اين كار را با موفقيت انجام دادند، بعدا فايل مخرب را هم به سايت تزريق كنند. فايل‌هاي آپلودشده توسط هكرها داراي نام‌هايي همچون hardfork.php و hardfind.php بوده‌اند. 

توليدكنندگان فايل منيجر وردپرس رسما اعلام كردند ادعاهاي مطرح‌شده از سوي ويله كورهونن، محقق شركت Seravo كه براي نخستين بار آسيب‌پذيري جديد را كشف و آن را گزارش كرد، واقعي است. يكي از محققان امنيتي در توييتر ضمن اشاره‌به «جدي بودن» آسيب‌پذيري جديد وردپرس نوشت كه اين آسيب‌پذيري به‌سرعت در حال پخش شدن است و صدها وب‌سايت با اشكال مواجه شده‌اند. او گفت فايل‌هاي مخرب در /wp-content/plugins/wp-file-manager/lib/files آپلود مي‌شوند. 

آسيب‌پذيري موردمباحثه در نسخه‌هاي ۶٫۰ تا ۶٫۸ فايل منيجر وردپرس وجود دارد. آمار منتشرشده ازسوي وردپرس نشان مي‌دهد در حدود ۵۲ درصد از نصب‌هاي فعال فايل منيجر، آسيب‌پذير هستند؛ با درانديشه متخصصينگرفتن اين حقيقت كه تعداد نصب‌هاي فعال مرز ۷۰۰٬۰۰۰ وب‌سايت را رد كرده، بايد بگوييم كه وب‌سايت‌هاي زيادي آسيب‌پذيرند و همين موضوع پتانسيل آسيب رسيدن به شمار درخورتوجهي از وب‌سايت‌ها را بالا مي‌برد. تمامي سايت‌هايي كه داراي نسخه‌هاي ۶٫۰ تا ۶٫۸ فايل منيجر هستند بايد در سريع‌ترين زمان ممكن به نسخه‌ي ۶٫۹ به‌روزرساني شوند.

براي كسب جزئيات بيشتر درباره‌ي آسيب‌پذيري جديد وردپرس مي‌توانيد به گزارش خبرگزاري وايرد مراجعه كنيد.