استقرار backdoor مخفی در ده‌ها پلاگین و تم WordPress

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hackers planted secret backdoor in dozens of wordpress plugins and themes 1
در نمونه جدیدی از حمله زنجیره تأمین نرم‌افزار، ده‌ها تم وردپرس و افزونه میزبانی شده در وب‌سایت یک توسعه‌دهنده در نیمه اول سپتامبر ۲۰۲۱ با هدف آلوده کردن سایت‌های بیشتر با کد‌های مخرب backdoor قرار گرفته‌اند.

این Backdoor توسط شرکتی که حدود ۳۶۰۰۰۰ نصب وب سایت فعال دارد، به مهاجمان کنترل کامل سطح ادمین بر وب سایت‌هایی می‌دهد که از ۴۰ تم و ۵۳ پلاگین متعلق به AccessPress Themes استفاده می‌کردند.

محققان امنیتی JetPack، توسعه‌دهنده مجموعه افزونه‌های وردپرس، در گزارشی که این هفته منتشر شد، گفتند: «افزونه‌های آلوده حاوی دراپری برای یک وب shell بودند که به مهاجمان دسترسی کامل به سایت‌های آلوده را می‌دهد. همان برنامه‌های افزودنی اگر مستقیماً از دایرکتوری WordPress[.]org دانلود یا نصب شوند، مشکلی ندارند».

این آسیب‌پذیری با‌شناسه CVE-۲۰۲۱-۲۴۸۶۷ معرفی شده است. پلتفرم امنیتی وب‌سایت Sucuri، در تحلیل جداگانه‌ای گفت که برخی از وب‌سایت‌های آلوده که از این backdoor استفاده می‌کنند دارای payload‌های هرزنامه هستند که قدمت آن تقریباً به سه سال قبل می‌رسد. این بدان معناست که عاملان در پس این عملیات، دسترسی به سایت‌ها را به اپراتور‌های سایر کمپین‌های هرزنامه می‌فروشند.

در اوایل این ماه، شرکت امنیت سایبری eSentire فاش کرد که چگونه از وب‌سایت‌های وردپرس آسیب‌دیده متعلق به کسب‌وکار‌های قانونی بعنوان بستری برای ارسال بدافزار استفاده می‌شود و به کاربرانی که در جستجوی قرارداد‌های پس از ازدواج یا مالکیت معنوی در موتور‌های جستجو مانند Google با ایمپلنتی به نام GootLoader هستند، خدمت‌رسانی می‌کنند.
takian.ir hackers planted secret backdoor in dozens of wordpress plugins and themes 2
به صاحبان سایت‌هایی که این افزونه‌ها را مستقیماً از وب‌سایت AccessPress Themes نصب کرده‌اند، توصیه می‌شود که فوراً خود را به یک نسخه امن ارتقا دهند یا آن را با آخرین نسخه از WordPress[.]org جایگزین کنند. علاوه بر این، لازم است که یک نسخه سالم از وردپرس برای بازگرداندن تغییرات انجام شده در هنگام نصب backdoor مستقر شود.

این یافته‌ها همچنین زمانی به دست آمد که شرکت امنیتی WordPress Wordfence جزئیات یک آسیب‌پذیری اسکریپت cross-site (XSS) را فاش کرد که بر افزونه‌ای به نام «WordPress Email Template Designer – WP HTML Mail» تأثیر می‌گذارد که بر روی بیش از ۲۰۰۰۰ وب‌سایت نصب شده است.

این باگ که تحت عنوان CVE-۲۰۲۲-۰۲۱۸ معرفی می‌شود، در سیستم امتیازدهی آسیب‌پذیری CVSS رتبه 8.3 را کسب کرده است و به عنوان بخشی از بروزرسانی‌های منتشر شده در ۱۳ ژانویه ۲۰۲۲ (نسخه 3.1) مورد بررسی قرار گرفته است.

کلوئی چمبرلند گفت: «این نقص این امکان را برای یک مهاجم غیرقانونی فراهم می‌کند تا جاوا اسکریپت مخربی را تزریق کند که هر زمان که ادمین سایت به ادیتور تمپلیت دسترسی پیدا کند، اجرا می‌شود. این آسیب‌پذیری همچنین به آن‌ها اجازه می‌دهد تا الگوی‌ایمیل را طوری تغییر دهند که حاوی داده‌های دلخواه باشد که می‌تواند برای انجام یک حمله فیشینگ علیه هر کسی که‌ایمیل‌هایی از سایت در معرض خطر دریافت کرده است، استفاده شود».

طبق آمار منتشر شده توسط Risk Based Security در این ماه، ۲۲۴۰ نقص امنیتی در پلاگین‌های شخص ثالث وردپرس در پایان سال ۲۰۲۱ کشف و گزارش شد که نسبت به سال ۲۰۲۰، زمانی که نزدیک به ۱۰۰۰ آسیب‌پذیری فاش شد، ۱۴۲ درصد افزایش داشته است. تا به امروز نیز، در مجموع ۱۰۳۵۹ آسیب‌پذیری افزونه وردپرس کشف شده است.

برچسب ها: Admin, WordPress Email Template Designer – WP HTML Mail, WordPress Wordfence, AccessPress Themes, تم, پلاگین‌, cross-site, Gootloader, حمله زنجیره تأمین, Payload, Shell, هرزنامه, Supply Chain Attack, وردپرس, افزونه, WordPress, Plugin, XSS, ادمین, cybersecurity, Google Play, phishing, گوگل, backdoor, امنیت سایبری, آسیب پذیری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ