وبسايت‌هاي فروشگاهي وردپرس تحت حملات شديد سايبري قرار دارند

وبسايت‌هاي فروشگاه‌هايي مبتني بر وردپرس، توسط گروهي از مجرمان سايبري تحت حملات شديد قرار گرفته‌اند. آن‌ها از آسيب‌پذيري يك افزونه‌ي سبد خريد فروشگاهي استفاده مي‌كنند تا راه‌هاي نفوذي را به وبسايت‌هاي فروشگاهي باز كنند و درنهايت، كنترل فروشگاه اينترنتي را در دست بگيرند. گزارش شركت امنيتي Defiant نشان مي‌دهد كه حملات هم‌اكنون نيز ادامه دارند. آن شركت، عرضه‌‌كننده‌ي يك افزونه‌ي امنيتي به‌نام Wordefence براي وبسايت‌هاي وردپرسي است.

آسيب‌پذيري چگونه كار مي‌كند؟

آسيب‌پذيري مورد انديشه متخصصين، يكي از معدود نمونه‌هايي است كه در آن از روش تقريبا بي‌خطر XSS استفاده مي‌شود، اما مي‌تواند تأثيرات مخرب قابل‌توجهي داشته باشد. درواقع، حفره‌هاي امنيتي XSS به‌ندرت براي چنين حمله‌هاي مرگ‌باري استفاده مي‌شوند. حملات كنوني در اثر اشكالات افزونه و نحوه‌ي بهره‌برداري از حفره‌ي امنيتي صورت مي‌گيرند كه تركيب آن‌ها، تهديدات شديدي را به همراه دارد.

افزونه‌ي فروشگاهي مذكور، به مديران وبسايت‌ها امكان مي‌دهد تا سبدهاي خريدي را كه توسط متخصصان رها شده‌اند، به‌راحتي مشاهده كنند. سبدهايي كه خريدار آن‌ها، پيش از نهايي شدن خريد، وبسايت را ترك مي‌كند. با استفاده از اين افزونه مي‌توان محصولات پرطرفدار را به‌صورت بهينه‌تري شناسايي و آن‌ها را به‌صورت بهتري عرضه كرد و به نمايش گذاشت. درنهايت، سبدهاي رهاشده تنها در بخش مديريت سايت و توسط مدير اصلي يا متخصصان ديگر با دسترسي‌هاي مديريتي قابل مشاهده خواهد بود.

مايكي وينسترا، محقق شركت Defiant مي‌گويد كه هكرها با استفاده از آسيب‌پذيري افزونه، عملياتي را به‌صورت خودكار در وبسايت‌هاي وردپرسي مجهز به ووكامرس اجرا مي‌كنند. در آن حمله‌ها، سبدهاي خريدي در فروشگاه الكترونيك ايجاد مي‌شود كه محصولات آن‌ها، نام‌هاي غيرمعمول يا اشتباه دارند. آن‌ها كدهاي نفوذ را در يكي از رديف‌هاي سبد خريد مخفي مي‌كنند و از وبسايت خارج مي‌شوند. با اين روش، كد مخرب قطعا وارد ديتابيس فروشگاه مي‌شود.

كدهاي مخربي كه توسط افزونه‌ي امنيتي شناسايي شدند،‌ يك فايل جاوااسكريپت را از آدرسي در bit.ly بارگذاري مي‌كنند. آن فايل، تلاش مي‌كند تا ۲ راه نفوذ را براي ورود به سايت‌هاي آسيب‌پذير پياده‌سازي كند. اولين راه نفوذ، يك حساب متخصصي با دسترسي مدير كل به هكرها مي‌دهد كه نام متخصصي آن woouser و رايانامه ثبت‌نامي، woouser401a[at]mailinator.com خواهد بود. گروه امنيتي، گذرواژه‌ي آن متخصص تقلبي را هم گزارش كرده‌اند كه K1YPRka7b0av1B است.

مسير ورودي دوم، بسيار زيركانه طراحي شد كه به‌ندرت در نفوذهاي اين‌چنيني ديده مي‌شود. وينسترا در مصاحبه‌ي خود گفت كه در روش دوم، كد مخرب فهرست افزونه‌هاي وبسايت را مطالعه كرده و آن‌هايي كه توسط مدير كل غيرفعال شده‌اند را شناسايي مي‌كند. هكرها افزونه‌ي هدف را فعال نمي‌كنند، بلكه محتواي فايل اصلي آن را با اسكريپتي مخرب تعويض مي‌كنند كه راه نفوذ را براي دسترسي‌هاي بعدي باز مي‌كند. افزونه غيرفعال مي‌ماند، اما از آنجايي كه فايل‌هاي آن روي هاست بوده و ازطريق وب ريكوئست‌ها قابل دسترسي هستند، هكرها مي‌توانند در صورت بسته شدن راه اول (پاك شدن متخصص woouser) ازطريق آن براي نفوذ اقدام كنند.

لينك bit.ly كه براي نفوذ مذكور استفاده مي‌شود، تاكنون ۵۲۰۰ مرتبه باز شده است. درنتيجه مي‌توان پيش‌بيني كرد كه تعداد سايت‌هاي آلوده به چند هزار عدد رسيده باشد. به‌هرحال، آمار بازديد از آن لينك را نمي‌توان دقيق دانست. وينسترا در مصاحبه‌ي خود درباره‌ي لينك مي‌گويد:

آمارهاي Bit.ly مي‌توانند گمراه‌كننده باشند، چرا كه يك وبسايت آلوده مي‌تواند چندين بار درخواست به آن لينك را تكرار كند. به‌عنوان مثال اگر كدهاي XSS در داشبورد مديريتي افزونه باقي بمانند و مدير چند بار آن را مطالعه كند، درخواست به لينك مذكور تكرار مي‌شود.به‌علاوه، نمي‌توان تخمين زد كه چند حمله‌ي XSS موفق انجام شده و منتظر مدير ارشد هستند تا صفحه‌ي مورد انديشه متخصصين را براي اولين‌بار باز كند.

جمله‌ي آخر وينسترا نشان مي‌دهد كه احتمالا وبسايت‌هاي زيادي تحت حمله قرار گرفته‌اند، اما هنوز راه ورود به آن‌ها نهايي نيست. درنتيحه، لينك Bit.ly ازطريق آن‌ها باز نشده است. به‌هرحال، وينسترا و همكارانش هنوز دليل و هدف اصلي مجرمان سايبري از نفوذ به آن همه وبسايت‌هاي وردپرسي را متوجه نشده‌اند. چرا كه افزونه‌ي امنيتي آن‌ها، همه‌ي مشتريان را دربرابر نفوذ مذكور حفظ كرده است. درنهايت، شايد بتوان اهدافي همچون ارسال اسپم براي سئيا اجراي كدهاي مخرب دزديدن اطلاعات بانكي را دليل نفوذهاي اخير دانست.

به‌هرحال تيم مديريتي افزونه‌ي Abandoned Cart Lite for WooCommerce در جديدترين نسخه‌ي خود پچ امنيتي براي مقابله با حمله‌هاي XSS را عرضه كرده‌اند. وبسايت‌هاي وردپرسي مجهز به ووكامرس كه از آن افزونه استفاده مي‌كنند، بايد هسته‌ي وبسايت و افزونه‌هاي خود را به‌روزرساني كرده و هرگونه فعاليت مشكوك در پنل مديريت را نيز مطالعه كنند. نام متخصصي woouser يا هر مورد مشابه و مشكوك، مرحله‌ي اول در آن مطالعه خواهد بود.