وبسايتهاي فروشگاهي وردپرس تحت حملات شديد سايبري قرار دارند
وبسايتهاي فروشگاههايي مبتني بر وردپرس، توسط گروهي از مجرمان سايبري تحت حملات شديد قرار گرفتهاند. آنها از آسيبپذيري يك افزونهي سبد خريد فروشگاهي استفاده ميكنند تا راههاي نفوذي را به وبسايتهاي فروشگاهي باز كنند و درنهايت، كنترل فروشگاه اينترنتي را در دست بگيرند. گزارش شركت امنيتي Defiant نشان ميدهد كه حملات هماكنون نيز ادامه دارند. آن شركت، عرضهكنندهي يك افزونهي امنيتي بهنام Wordefence براي وبسايتهاي وردپرسي است.
گزارش امنيتي ميگويد كه مجرمان سايبري از افزونهي سبد فروشگاهي بهنام Abandoned Cart Lite for WooCommerce براي نفوذ استفاده ميكنند. طبق گزارش مخزن رسمي افزونههاي وردپرس، اين افزونه اكنون روي ۲۰ هزار وبسايت وردپرسي فعاليت ميكند.
آسيبپذيري چگونه كار ميكند؟
آسيبپذيري مورد انديشه متخصصين، يكي از معدود نمونههايي است كه در آن از روش تقريبا بيخطر XSS استفاده ميشود، اما ميتواند تأثيرات مخرب قابلتوجهي داشته باشد. درواقع، حفرههاي امنيتي XSS بهندرت براي چنين حملههاي مرگباري استفاده ميشوند. حملات كنوني در اثر اشكالات افزونه و نحوهي بهرهبرداري از حفرهي امنيتي صورت ميگيرند كه تركيب آنها، تهديدات شديدي را به همراه دارد.
افزونهي فروشگاهي مذكور، به مديران وبسايتها امكان ميدهد تا سبدهاي خريدي را كه توسط متخصصان رها شدهاند، بهراحتي مشاهده كنند. سبدهايي كه خريدار آنها، پيش از نهايي شدن خريد، وبسايت را ترك ميكند. با استفاده از اين افزونه ميتوان محصولات پرطرفدار را بهصورت بهينهتري شناسايي و آنها را بهصورت بهتري عرضه كرد و به نمايش گذاشت. درنهايت، سبدهاي رهاشده تنها در بخش مديريت سايت و توسط مدير اصلي يا متخصصان ديگر با دسترسيهاي مديريتي قابل مشاهده خواهد بود.
مايكي وينسترا، محقق شركت Defiant ميگويد كه هكرها با استفاده از آسيبپذيري افزونه، عملياتي را بهصورت خودكار در وبسايتهاي وردپرسي مجهز به ووكامرس اجرا ميكنند. در آن حملهها، سبدهاي خريدي در فروشگاه الكترونيك ايجاد ميشود كه محصولات آنها، نامهاي غيرمعمول يا اشتباه دارند. آنها كدهاي نفوذ را در يكي از رديفهاي سبد خريد مخفي ميكنند و از وبسايت خارج ميشوند. با اين روش، كد مخرب قطعا وارد ديتابيس فروشگاه ميشود.
هكرها يك حساب متخصصي با دسترسي مدير كل ايجاد ميكنند
پس از آنكه كد مخرب در سبد خريد قرار گرفت، مدير وبسايت براي مطالعه سبدهاي رهاشده به افزونه مراجعه ميكند. سپس كد مخرب به محض باز شدن صفحهاي مشخص از پنل مديريتي، اجرا ميشود. وينسترا ميگويد افزونهي امنيتي شركتش در هفتههاي گذشته چندين تلاش براي نفوذ به وبسايتها با استفاده از اين روش را ثبت كرده است.
كدهاي مخربي كه توسط افزونهي امنيتي شناسايي شدند، يك فايل جاوااسكريپت را از آدرسي در bit.ly بارگذاري ميكنند. آن فايل، تلاش ميكند تا ۲ راه نفوذ را براي ورود به سايتهاي آسيبپذير پيادهسازي كند. اولين راه نفوذ، يك حساب متخصصي با دسترسي مدير كل به هكرها ميدهد كه نام متخصصي آن woouser و رايانامه ثبتنامي، woouser401a[at]mailinator.com خواهد بود. گروه امنيتي، گذرواژهي آن متخصص تقلبي را هم گزارش كردهاند كه K1YPRka7b0av1B است.
مسير ورودي دوم، بسيار زيركانه طراحي شد كه بهندرت در نفوذهاي اينچنيني ديده ميشود. وينسترا در مصاحبهي خود گفت كه در روش دوم، كد مخرب فهرست افزونههاي وبسايت را مطالعه كرده و آنهايي كه توسط مدير كل غيرفعال شدهاند را شناسايي ميكند. هكرها افزونهي هدف را فعال نميكنند، بلكه محتواي فايل اصلي آن را با اسكريپتي مخرب تعويض ميكنند كه راه نفوذ را براي دسترسيهاي بعدي باز ميكند. افزونه غيرفعال ميماند، اما از آنجايي كه فايلهاي آن روي هاست بوده و ازطريق وب ريكوئستها قابل دسترسي هستند، هكرها ميتوانند در صورت بسته شدن راه اول (پاك شدن متخصص woouser) ازطريق آن براي نفوذ اقدام كنند.
لينك bit.ly كه براي نفوذ مذكور استفاده ميشود، تاكنون ۵۲۰۰ مرتبه باز شده است. درنتيجه ميتوان پيشبيني كرد كه تعداد سايتهاي آلوده به چند هزار عدد رسيده باشد. بههرحال، آمار بازديد از آن لينك را نميتوان دقيق دانست. وينسترا در مصاحبهي خود دربارهي لينك ميگويد:
آمارهاي Bit.ly ميتوانند گمراهكننده باشند، چرا كه يك وبسايت آلوده ميتواند چندين بار درخواست به آن لينك را تكرار كند. بهعنوان مثال اگر كدهاي XSS در داشبورد مديريتي افزونه باقي بمانند و مدير چند بار آن را مطالعه كند، درخواست به لينك مذكور تكرار ميشود.بهعلاوه، نميتوان تخمين زد كه چند حملهي XSS موفق انجام شده و منتظر مدير ارشد هستند تا صفحهي مورد انديشه متخصصين را براي اولينبار باز كند.
جملهي آخر وينسترا نشان ميدهد كه احتمالا وبسايتهاي زيادي تحت حمله قرار گرفتهاند، اما هنوز راه ورود به آنها نهايي نيست. درنتيحه، لينك Bit.ly ازطريق آنها باز نشده است. بههرحال، وينسترا و همكارانش هنوز دليل و هدف اصلي مجرمان سايبري از نفوذ به آن همه وبسايتهاي وردپرسي را متوجه نشدهاند. چرا كه افزونهي امنيتي آنها، همهي مشتريان را دربرابر نفوذ مذكور حفظ كرده است. درنهايت، شايد بتوان اهدافي همچون ارسال اسپم براي سئيا اجراي كدهاي مخرب دزديدن اطلاعات بانكي را دليل نفوذهاي اخير دانست.
بههرحال تيم مديريتي افزونهي Abandoned Cart Lite for WooCommerce در جديدترين نسخهي خود پچ امنيتي براي مقابله با حملههاي XSS را عرضه كردهاند. وبسايتهاي وردپرسي مجهز به ووكامرس كه از آن افزونه استفاده ميكنند، بايد هستهي وبسايت و افزونههاي خود را بهروزرساني كرده و هرگونه فعاليت مشكوك در پنل مديريت را نيز مطالعه كنند. نام متخصصي woouser يا هر مورد مشابه و مشكوك، مرحلهي اول در آن مطالعه خواهد بود.
هم انديشي ها