یک آسیب‌پذیری امنیتی بزرگ، بیش از ۳۵۰ هزار سایت مبتنی بر وردپرس را در خطر قرار داد

هکرها چند وقتی است که در تلاشند با سوء استفاده از یک آسیب‌پذیری در وب‌سایت‌هایی که FileManager را به اجرا در می‌آورند، فرمان‌ها و اسکریپت‌های بدخواهانه را پیاده‌سازی کنند. FileManager یک پلاگین در وردپرس است که به گفته محققین، بیش از ۷۰۰ هزار نصب فعال دارد.

هکرها از این آسیب‌پذیری برای آپلود فایل‌هایی استفاده می‌کنند که شامل وب‌شل‌های پنهان درون یک تصویر هستند. از این لحظه به بعد، آن‌ها با یک رابط‌ کاربری خوش‌دست مواجه می‌شوند که به آن‌ها اجازه می‌دهد در مسیر plugins/wp-file-manager/lib/files/، یعنی جایی که پلاگین فایل منیجر در آن قرار گرفته، فرمان‌های مختلف را به اجرا درآورند. البته یکی از محدودیت‌های پیش روی هکرها اینست که نمی‌توان در هیچ‌جایی غیر از این مسیر،‌ فرمان‌ها را به اجرا درآورد. اما در هر صورت می‌توان با آپلود اسکریپت‌هایی که وظایف مختلف را در دیگر نقاط یک وب‌سایت آسیب‌پذیر برعهده می‌گیرند، خسارات زیادی وارد کرد.

شرکت امنیتی و تایوانی NinTechNet یکی از اولین شرکت‌هایی بود که خبر از وجود این روش حمله داد. در پست رسمی این شرکت آمده که هکرها از آسیب‌پذیری برای آپلود یک اسکریپت تحت عنوان hardfork.php استفاده می‌کنند و بعد به کمک آن، به تزریق کدهای دلخواه به درون اسکریپت‌های wp-admin/admin-ajax.php و wp-includes/user.php می‌پردازند.

جروم بروندت، مدیرعامل NinTechNet در ایمیل اخیر خود نوشته:

هنوز برای ابعادسنجی تاثیر این حمله زود است، زیرا وقتی متوجه آن شدیم، هکرها صرفا در تلاش بودند که یک در پشتی به درون وب‌سایت‌ها ایجاد کنند. اما یک نکته جالب که متوجهش شدیم اینست که مهاجمین در حال تزریق کدهایی برای محافظت از فایل آسیب‌پذیر (یعنی Connector.minimal.php) به کمک پسوورد بودند تا دیگر گروه‌های هکر قادر به استفاده از آسیب‌پذیری در سایت‌هایی که از پیش آلوده شده‌اند نباشند.

تمام فرمان‌ها را می‌توان در فولدر lib/files به اجرا درآورد، اما مهم‌ترین مشکل اینست که آن‌ها می‌توانند اسکریپت‌های PHP را درون همان فولدر نیز آپلود، اجرا و هرکاری که می‌خواهند با بلاگ مورد نظر بکنند.

تا به اینجای کار، آن‌ها مشغول آپلود «FilesMan» بوده‌اند، یک فایل منیجر دیگر که معمولا از سوی هکرها مورد استفاده قرار می‌گیرد. ساز و کار این فایل منیجر شدیدا مبهم است. در ساعات و روزهای پیش رو، دقیقا خواهیم داد که هکرها چه خواهند کرد. زیرا اگر آن‌ها فایل‌های آسیب‌پذیر را قفل می‌کنند تا در دسترس دیگر هکرها قرار نگیرد، این یعنی به احتمال زیاد مجددا به سراغ وب‌سایت‌های آلوده شده خواهند آمد.

یک شرکت امنیتی دیگر به Wordfence هم در پست مجزای خود گفته که طی چند روز اخیر، با بالغ بر ۴۵۰ هزار تلاش برای استفاده از این آسیب‌پذیری مقابله کرده است. در پست این شرکت آمده که هکرها در تلاشند تا فایل‌های مختلفی را درون وب‌سایت‌ها تزریق کنند. در برخی از موارد، این فایل‌ها خالی بوده‌اند و این یعنی هکرها تلاش کرده‌اند وب‌سایت‌های آسیب‌پذیر را بیابند و اگر تلاش‌شان موفقیت‌آمیز بود، به سراغ تزریق فایل‌های بدخواهانه بروند. فایل‌هایی که آپلود می‌شوند نام‌هایی نظیر hardfork.php ،hardfind.php و x.php دارند.

یک پلاگین فایل منیجر به هکرها اجازه خواهد داد تا هر فایلی را مستقیما از طریق داشبورد وردپرس دستکاری کنند یا به آپلود آن‌ها بپردازند. در این صورت، سطح دسترسی آن‌ها به وب‌سایت تفاوتی با یک ادمین نخواهد داشت.

احتمال خسارت = ۵۲ درصد

پلاگین فایل منیجر به ادمین‌ها اجازه می‌دهد که فایل‌هایی که روی سیستم مدیریت محتوای وردپرس به اجرا در می‌آیند را مدیریت کنند. این پلاگین شامل یک فایل منیجر دیگر به نام elFinder نیز هست، یک لایبرری متن‌باز که قابلیت‌های کلی پلاگین و همینطور رابط کاربری آن را فراهم می‌آورد. ظاهرا آسیب‌پذیری از چگونگی تعبیه elFinder درون پلاگین به وجود آمده است.

مشکل زمانی ظهور کرده که پلاگین فایل منیجر، پسوند فایل connector.minimal.php.dist را به php تغییر می‌دهد تا بتوان آن را مستقیما به اجرا درآورد، حتی با اینکه فایل کانکتور به صورت مستقیم از سوی فایل منیجر استفاده نمی‌شود. برخی از لایبرری‌ها شامل فایل‌هایی نمونه می‌شوند که نمی‌توان بدون افزودن دسترسی کنترل به آن‌ها، همانگونه که هستند به کار گرفت‌شان. اما این فایل هیچ محدودیتی در برابر دسترسی مستقیم نداشته و یعنی می‌تواند توسط هرکسی مورد استفاده قرار گیرد.

این آسیب‌پذیری امنیتی، ورژن‌های ۶.۰ تا ۶.۸ پلاگین File Manager را تحت تاثیر قرار داده. بنابر آمار رسمی وردپرس، حدود ۵۲ درصد از نصب‌های فعال پلاگین، متعلق به این ورژن‌ها است. بنابراین با توجه به اینکه بیش از نیمی از سایت‌هایی که به استفاده از فایل منیجر روی آورده‌اند در خطر هستد، پتانسیل آسیب بسیار بالا است. سایت‌هایی که هرکدام از این ورژن‌ها را به اجرا درمی‌آورند باید فورا به سراغ ورژن ۶.۹ بروند.