هزاران وبسایت وردپرسی درمعرض آسیبپذیری پلاگین ناامن Kaswara Modern VC قرار دارند
مؤسسهی امنیت سایبری Miscreants گزارش داده است که ۱/۶ میلیون وبسایت را بررسی کرده است تا امکان آلودهسازی آنها ازطریق آسیبپذیری File Upload در پلاگین وردپرس را ارزیابی کند که پیشتر کفش شده بود.
بهگزارش دریجستر، آسیبپذیری یادشده با شناسهی CVE-2021-24284 ثبت شده است که نقص فنی افزونهی صفحهساز وردپرس Kaswara Modern VC را نشان میدهد. براساس گزارشها، این نقص فنی امکان بارگذاری فایلهای جاوااسکریپت مخرب را برای هکر فراهم میکند؛ علاوهبراین، هکر میتواند با نفوذ از این طریق حتی وبسایت یک سازمان را کاملاً دراختیار بگیرید.
شرکت Wordfence سه ماه پیش نقص فنی مذکور را کشف کرد و این هفته در پیامی هشدار داد که هکرها در حال افزایش حملات خود هستند. این شرکت امنیتی متمرکز بر وردپرس ادعا میکند که بهطورمتوسط روزانه ۴۴۳٬۸۶۸ حمله روی وبسایتهای مشتریانش را مسدود میکند.
توسعهدهندگان نرمافزار نیز تلاشی برای رفع نقص فنی افزونه نکردند و بهطورکلی افزونه را متوقف کردند؛ بنابراین، تمامی نسخهها دربرابر این نقص ناامن هستند. عدهای بر این باورند که بین ۴٬۰۰۰ تا ۸٬۰۰۰ وبسایت همچنان از این پلاگین آسیبپذیر استفاده میکنند و میگویند که ۱٬۵۹۹٬۸۵۲ وبسایت هدف حملهی هکرها قرار گرفتهاند که خوشبختانه بخش اعظمی از آنها پلاگین آسیبپذیر را اجرا نمیکردند.
اگر جزو افرادی هستید که هنوز از این پلاگین آسیبپذیر ناامن استفاده میکنید، همین الآن بهتر است که آن را حذف کنید. گذشته از آسیبپذیری مستقیم، حتی اگر به وبسایتی مستقیماً حمله نشود، همچنان خطر آسیب دیگر وبسایتها بر سایرین اثر میگذارد. برای مثال، هکر ممکن است از وبسایتی آلوده برای فیشینگ یا میزبانی بدافزار سوءاستفاده کند. بنابراین، باید در نظر گرفت که چگونه پلاگینهای کوچک میتوانند به جرایم سایبری گستردهتر در سطح اینترنت دامن بزنند.
شرکت Wordfence در اطلاعیهی هشدارآمیز خود توصیه کرده است که افزونهی Kaswara Modern WPBakery Page Builder باید در اسرع وقت و بهطورکامل حذف شود. همچنین، افزونهی دیگری باید بهعنوان جایگزین آن پیدا شود؛ زیرا این پلاگین هرگز وصلهی امنیتی مناسبی برای رفع این آسیبپذیری دریافت نخواهد کرد.
وردفنس درادامه دربارهی روش اجرای حملهی هکرها توضیح داد. مهاجمان اغلب فرایند هک را با درخواست POST به «/wp-admin/admin-ajax.php» با استفاده از عملیات AJAX در uploadFontIcon پلاگین انجام میدهند که به آنان اجازه میدهد فایلهای آلوده را در وبسایت قربانی بارگذاری کنند.
در لاگهای وبسایت دچارحملهشده میتوان این رشته کوئری را مشاهده کرد:
/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1
همچنین، گزارش شده است که ۱۰ آیپی زیر بیشترین تلاش برای هک را انجام دادهاند:
- ۲۱۷.۱۶۰.۴۸.۱۰۸ با ۱٬۵۹۱٬۷۶۵ تلاش مسدودشده
- ۲.۵.۹.۲۹ با ۸۹۸٬۲۴۸ تلاش مسدودشده
- ۲.۵۸.۱۴۹.۳۵ با ۳۹۰٬۸۱۵ تلاش مسدودشده
- ۲۰.۹۴.۷۶.۱۰ با ۲۷۶٬۰۰۶ تلاش مسدودشده
- ۲۰.۲۰۶.۷۶.۳۷ با ۲۱۲٬۷۶۶ تلاش مسدودشده
- ۲۰.۲۱۹.۳۵.۱۲۵ با ۱۸۷٬۴۷۰ تلاش مسدودشده
- ۲۰.۲۲۳.۱۵۲.۲۲۱ با ۱۰۲٬۶۵۸ تلاش مسدودشده
- ۵.۳۹.۱۵.۱۶۳ با ۶۲٬۳۷۶ تلاش مسدودشده
- ۱۹۴.۸۷.۸۴.۱۹۵ با ۳۲٬۸۹۰ تلاش مسدودشده
- ۱۹۴.۸۷.۸۴.۱۹۳ با ۳۱٬۳۲۹ تلاش مسدودشده
بسیاری از حملهها شامل تلاش برای بارگذاری فایلی با نام a57bze8931.zip هستند که بهمحض نصبشدن، به مهاجم اجازه میدهد نرمافزارهای مخرب دیگری را همواره روی وبسایت قربانی بارگذاری کند. علاوهبراین طبق گزارش وردفنس، برخی از حملهها نیز شامل نشانههایی از تروجان NDSW میشوند. این تروجان بازدیدکنندگان وبسایت را به وبسایتهای مخرب هدایت میکند. بنابراین، پیش از اینکه مشکل بزرگی بهوجود بیاید، باید همهی وبسایتها این افزونهی ناامن را بهطورکامل حذف کنند.
دیدگاه شما کاربران زومیت دربارهی این آسیبپذیری در وبسایتهای وردپرسی چیست؟