افزونه‌هاي وردپرس آسيب‌پذيري امنيتي وخيم دارند

گروه امنيتي Wordfence آسيب‌پذيري‌ امنيتي مهمي را در وردپرس پيدا كرده‌اند كه مجرمان سايبري از يك ماه پيش از آن‌ها سوءاستفاده مي‌كنند. مجرمان با استفاده از آسيب‌پذيري‌هاي مذكور، امكان ساخت حساب‌هاي متخصصي مدير سيستم (Admin) دارند. تحقيق امنيتي اخير نشان مي‌دهد كه مجرمان هنوز از آسيب‌پذيري‌ها سوءاستفاده مي‌كنند.

مطالعه محققان Wordfence نشان داد كه حمله به وب‌سايت‌هاي وردپرسي از IPهاي متنوعي صورت مي‌گيرد و البته برخي از آن‌ها به ارائه‌كننده‌هاي خدمات هاستينگ مربوط مي‌شوند. البته پس از آنكه اخبار آسيب‌پذيري منتشر شد، بسياري از IPها عمليات خراب‌كارانه‌ي خود را متوقف كردند. مايكي وينسترا از محققان Wordfence در يك پست وبلاگي توضيح داد كه اكثر حمله‌ها به وب‌سايت‌هاي وردپرسي از يك آدرس IP شروع مي‌شده‌اند:

IP مورد انديشه متخصصين، 104.130.139.134 است كه به سرورهاي Rackspace تعلق دارد و بسياري از وب‌سايت‌هاي قرباني در آن همراهي مي‌شوند. ما با Rackspace تماس گرفتيم و تهديد مذكور را براي آن‌ها شرح داديم. اميدوار هستيم كه هرچه سريع‌تر راهكاري براي جلوگيري از حمله‌هاي مشابه از طريق سرورهاي مذكور پياده‌سازي شود. البته هنوز پاسخي دريافت نكرده‌ايم.

حمله‌هايي كه توسط گروه محققان كشف شدند، از آسيب‌پذيري‌هاي مشهور در افزونه‌هاي وردپرس استفاده مي‌كنند. از ميان مشهورترين آن‌ها مي‌توان به افزونه‌هاي nd-booking، nd-travel و nd-learning از NicDark اشاره كرد.

تحقيق اوليه‌ روي كمپين مجرمان سايبري نشان مي‌داد كه اسكريپت‌هاي مخرب به وب‌سايت تزريق مي‌شوند. اسكريپت‌ها باعث ايجاد آدرس‌هاي هدايت (redirect) يا پاپ‌آپ براي متخصصي مي‌شوند كه از وب‌سايت قرباني بازديد مي‌كند. مطالعه عميق‌تر نشان داد كه اسكريپتي ديگر با هدف نصب در پشتي در وب‌سايت هم طي حمله تزريق مي‌شود.

درنهايت مانند بسياري از تحقيق‌هاي امنيتي، راهكارهاي مقابله با نفوذ هم از سوي تيم محققان ارائه شد. در متن بيانيه‌ي مرتبط با حمله‌ي سايبري مي‌خوانيم:

مانند هميشه، به‌روزرساني افزونه‌ها و تم‌هاي وردپرس بهترين لايه‌ي امنيتي را در برابر كمپين‌هاي مجرمان سايبري ايجاد مي‌كند. به‌صورت منظم نياز به به‌روزرساني را در وب‌سايت خود مطالعه كنيد و از دريافت آخرين پچ‌هاي امنيتي مطمئن شويد.