یک آسیب‌پذیری امنیتی بزرگ، بیش از ۳۵۰ هزار سایت مبتنی بر وردپرس را در خطر قرار داد

هکرها چند وقتی است که در تلاشند با سوء استفاده از یک آسیب‌پذیری در وب‌سایت‌هایی که FileManager را به اجرا در می‌آورند، فرمان‌ها و اسکریپت‌های بدخواهانه را پیاده‌سازی کنند. FileManager یک پلاگین در وردپرس است که به گفته محققین، بیش از ۷۰۰ هزار نصب فعال دارد.

هکرها از این آسیب‌پذیری برای آپلود فایل‌هایی استفاده می‌کنند که شامل وب‌شل‌های پنهان درون یک تصویر هستند. از این لحظه به بعد، آن‌ها با یک رابط‌ کاربری خوش‌دست مواجه می‌شوند که به آن‌ها اجازه می‌دهد در مسیر plugins/wp-file-manager/lib/files/، یعنی جایی که پلاگین فایل منیجر در آن قرار گرفته، فرمان‌های مختلف را به اجرا درآورند. البته یکی از محدودیت‌های پیش روی هکرها اینست که نمی‌توان در هیچ‌جایی غیر از این مسیر،‌ فرمان‌ها را به اجرا درآورد. اما در هر صورت می‌توان با آپلود اسکریپت‌هایی که وظایف مختلف را در دیگر نقاط یک وب‌سایت آسیب‌پذیر برعهده می‌گیرند، خسارات زیادی وارد کرد.

شرکت امنیتی و تایوانی NinTechNet یکی از اولین شرکت‌هایی بود که خبر از وجود این روش حمله داد. در پست رسمی این شرکت آمده که هکرها از آسیب‌پذیری برای آپلود یک اسکریپت تحت عنوان hardfork.php استفاده می‌کنند و بعد به کمک آن، به تزریق کدهای دلخواه به درون اسکریپت‌های wp-admin/admin-ajax.php و wp-includes/user.php می‌پردازند.

جروم بروندت، مدیرعامل NinTechNet در ایمیل اخیر خود نوشته:

هنوز برای ابعادسنجی تاثیر این حمله زود است، زیرا وقتی متوجه آن شدیم، هکرها صرفا در تلاش بودند که یک در پشتی به درون وب‌سایت‌ها ایجاد کنند. اما یک نکته جالب که متوجهش شدیم اینست که مهاجمین در حال تزریق کدهایی برای محافظت از فایل آسیب‌پذیر (یعنی Connector.minimal.php) به کمک پسوورد بودند تا دیگر گروه‌های هکر قادر به استفاده از آسیب‌پذیری در سایت‌هایی که از پیش آلوده شده‌اند نباشند.

تمام فرمان‌ها را می‌توان در فولدر lib/files به اجرا درآورد، اما مهم‌ترین مشکل اینست که آن‌ها می‌توانند اسکریپت‌های PHP را درون همان فولدر نیز آپلود، اجرا و هرکاری که می‌خواهند با بلاگ مورد نظر بکنند.

تا به اینجای کار، آن‌ها مشغول آپلود «FilesMan» بوده‌اند، یک فایل منیجر دیگر که معمولا از سوی هکرها مورد استفاده قرار می‌گیرد. ساز و کار این فایل منیجر شدیدا مبهم است. در ساعات و روزهای پیش رو، دقیقا خواهیم داد که هکرها چه خواهند کرد. زیرا اگر آن‌ها فایل‌های آسیب‌پذیر را قفل می‌کنند تا در دسترس دیگر هکرها قرار نگیرد، این یعنی به احتمال زیاد مجددا به سراغ وب‌سایت‌های آلوده شده خواهند آمد.

یک شرکت امنیتی دیگر به Wordfence هم در پست مجزای خود گفته که طی چند روز اخیر، با بالغ بر ۴۵۰ هزار تلاش برای استفاده از این آسیب‌پذیری مقابله کرده است. در پست این شرکت آمده که هکرها در تلاشند تا فایل‌های مختلفی را درون وب‌سایت‌ها تزریق کنند. در برخی از موارد، این فایل‌ها خالی بوده‌اند و این یعنی هکرها تلاش کرده‌اند وب‌سایت‌های آسیب‌پذیر را بیابند و اگر تلاش‌شان موفقیت‌آمیز بود، به سراغ تزریق فایل‌های بدخواهانه بروند. فایل‌هایی که آپلود می‌شوند نام‌هایی نظیر hardfork.php ،hardfind.php و x.php دارند.

یک پلاگین فایل منیجر به هکرها اجازه خواهد داد تا هر فایلی را مستقیما از طریق داشبورد وردپرس دستکاری کنند یا به آپلود آن‌ها بپردازند. در این صورت، سطح دسترسی آن‌ها به وب‌سایت تفاوتی با یک ادمین نخواهد داشت.

احتمال خسارت = ۵۲ درصد

پلاگین فایل منیجر به ادمین‌ها اجازه می‌دهد که فایل‌هایی که روی سیستم مدیریت محتوای وردپرس به اجرا در می‌آیند را مدیریت کنند. این پلاگین شامل یک فایل منیجر دیگر به نام elFinder نیز هست، یک لایبرری متن‌باز که قابلیت‌های کلی پلاگین و همینطور رابط کاربری آن را فراهم می‌آورد. ظاهرا آسیب‌پذیری از چگونگی تعبیه elFinder درون پلاگین به وجود آمده است.

مشکل زمانی ظهور کرده که پلاگین فایل منیجر، پسوند فایل connector.minimal.php.dist را به php تغییر می‌دهد تا بتوان آن را مستقیما به اجرا درآورد، حتی با اینکه فایل کانکتور به صورت مستقیم از سوی فایل منیجر استفاده نمی‌شود. برخی از لایبرری‌ها شامل فایل‌هایی نمونه می‌شوند که نمی‌توان بدون افزودن دسترسی کنترل به آن‌ها، همانگونه که هستند به کار گرفت‌شان. اما این فایل هیچ محدودیتی در برابر دسترسی مستقیم نداشته و یعنی می‌تواند توسط هرکسی مورد استفاده قرار گیرد.

این آسیب‌پذیری امنیتی، ورژن‌های ۶.۰ تا ۶.۸ پلاگین File Manager را تحت تاثیر قرار داده. بنابر آمار رسمی وردپرس، حدود ۵۲ درصد از نصب‌های فعال پلاگین، متعلق به این ورژن‌ها است. بنابراین با توجه به اینکه بیش از نیمی از سایت‌هایی که به استفاده از فایل منیجر روی آورده‌اند در خطر هستد، پتانسیل آسیب بسیار بالا است. سایت‌هایی که هرکدام از این ورژن‌ها را به اجرا درمی‌آورند باید فورا به سراغ ورژن ۶.۹ بروند.

malltina hamrah-mechanic

مطالب مرتبط

حمله هکری علیه زنجیره تامین آمریکا توسط یک شرکت آنتی ویروس چینی

وزارت دادگستری آمریکا این هفته اعلام کرد که ۷ تبعه چینی برای مدت بیش از یک دهه بالغ بر ۱۰۰ شرکت های-تک یا حوزه گیمینگ را هدف حملات هکری قرار داده اند. دولت آمریکا ادعا این کند این مردان با کمک ایمیل حملات فیشینگ یکپارچه ای را علیه اهداف خود از جمله «زنجیره تامین» انجام... ادامه مطلب

توییتر امنیت پروفایل سیاستمداران را در آستانه انتخابات آمریکا ارتقا می‌دهد

توییتر از ارتقا امنیت پروفایل نامزدهای انتخاباتی و دیگر اشخاص سیاسی «بلند پایه» در آستانه انتخابات ریاست جمهوری آمریکا خبر داد.توییتر از این پس از کاربرانی که پسورد ضعیفی برای پروفایلشان انتخاب کرده‌اند، می‌خواهد تا گذرواژه قوی‌تری انتخاب کرده و آنها را به فعال کردن احراز هویت دو مرحله‌ای تشویق می‌کند.توییتر همچنین گزینه Password Reset Protect... ادامه مطلب

سورس کد تروجان بانکی Cerberus به صورت رایگان منتشر شد

سورس کد تروجان بانکی «سربروس» (Cerberus) پس از به فروش نرفتن در حراجی به شکل رایگان در فروم‌های هک منتشر شد.«Dmitry Galov»، محقق امنیت سایبری از شرکت کسپرسکی در کنفرانس Kaspersky NEXT 2020 گفت سورس کد تروجان سربروس که تحت نام Cerberus v2 منتشر شده است، حالا به طور جدی موبایل‌ها و بانک‌ها را تهدید... ادامه مطلب

امنیت به زبان ساده: هکرهای کلاه مشکی

اگر اخبار را بخوانید و با دنیای تکنولوژی آشنا باشید، به احتمال زیاد می‌دانید که کار یک هکر چیست. اما در عین حال احتمالا این را ندادید که هکرها در چند دسته‌بندی مختلف مانند کلاه مشکی، کلاه سفید و کلاه خاکستری قرار می‌گیرند. این عبارت از فیلم‌های وسترن دهه ۱۹۵۰ میلادی به دست آمده که... ادامه مطلب

میلیاردها دستگاه در معرض آسیب پذیری جدید بلوتوث قرار دارند

آسیب پذیری جدیدی در فناوری بلوتوث کشف شده که میلیاردها موبایل، تبلت، لپ تاپ و دیوایس‌های IoT را در معرض خطر قرار داده است.این آسیب پذیری Bluetooth Low Energy Spoofing Attack یا به اختصار BLESA نام داشته و دیوایس‌هایی که از پروتکل بلوتوث کم انرژی (BLE) استفاده می‌کنند را هدف قرار می‌دهد. پروتکل BLE نسخه ساده استاندارد بلوتوث است... ادامه مطلب

یک شرکت چینی به جاسوسی از ۲.۴ میلیون نفر در سراسر دنیا متهم شد

در شرایطی که روابط چین و آمریکا روزهای سخت خود را سپری می‌‌کند، یک شرکت چینی به جمع آوری داده‌های میلیون‌ها کاربر در کشورهای مختلف اعم از ایالات متحده، بریتانیا و استرالیا متهم شده است. حجم عظیم این دیتابیس و حضور نام افراد سرشناس در این فهرست متخصصان امنیتی را نگران قدرت و نفوذ چین... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟