اضافة وورد بريس SMTP المستغلة من قبل مجموعتين اختراق
لاحظت شركتان للأمن الالكترونى المسؤولة عن توفير مكونات إضافية لجدار الحماية لمواقع وورد بريس هجمات على نقطة ضعف في اليوم في أحد مكونات وورد بريس الشائعة.
تمكنت الشركات من تحديد مجموعتين على الأقل من مجموعات القرصنة الذين يسيئون استخدام اليوم صفر لتغيير إعدادات موقع الويب الخاص بهم ، وإنشاء حسابات مكررة للمسؤولين ، ثم اختطاف حركة المرور من المواقع التي تم اختراقها.
وفقًا للبحث الذي أجرته شركات الأمان ، فإن إساءة استخدام المتسللين في يوم الصفر تكمن في "Easy WP SMTP" ، وهو مكون إضافي لبرنامج وورد بريس مع أكثر من 300000 عملية تثبيت نشطة. الميزة الرئيسية للمكون الإضافي هي تمكين مالكي مواقع الويب من تكوين إعدادات SMTP لرسائل البريد الإلكتروني الصادرة لخادم الموقع.
كانت NinTechNet ، الشركة التي تقف وراء Ninja Firewall لـ وورد بريس ، أول من لاحظ الهجمات يوم الجمعة ، 15 مارس. أبلغ NinTechNet على الفور النتائج التي توصلوا إليها إلى مؤلف البرنامج المساعد ، الذي قام بتصحيح يوم الصفر يوم الأحد بإصدار الإصدار 1.3.9.1.
على الرغم من التصحيح ، لم تتوقف الهجمات واستمرت طوال الأسبوع. في الواقع ، اكتسب المهاجمون قوة دفع مع مرور الوقت وحاولوا حل وسط كما لاحظ العديد من المواقع قبل مالكيها.
Defiant ، زعمت شركة الأمن الالكترونى التي تدير جدار الحماية Wordfence WordPress أنها لاحظت وقوع الهجمات حتى بعد التصحيح. قدمت الشركة تحليلاً مفصلاً لملاحظاتهم في تقرير ادعوا فيه أن المهاجمين استغلوا ميزة تصدير / استيراد إعدادات تمت إضافتها إلى المكون الإضافي Easy WP SMTP في الإصدار 1.3.9. ادعت شركة Defiant أن المتسللين عثروا على ثقب في جزء الوظيفة من ميزة الاستيراد / التصدير التي سمحت لهم بتغيير الإعدادات العامة للموقع - وليس فقط الإعدادات المتعلقة بالبرنامج المساعد.
يقوم المتسللون بمسح المواقع باستخدام هذا المكون الإضافي ثم يعدلون الإعدادات المرتبطة بتسجيل المستخدم - وهي ميزة حافظ عليها العديد من مالكي مواقع WP معطلة لأسباب أمنية.
في الهجوم الذي رصده NinTechNet قبل التصحيح ، قام المتسللون بتعديل خيار "wp_user_roles" الذي يتحكم في أذونات دور "المشترك" على مواقع WP ، مما يتيح للمشترك نفس المسؤوليات التي يتحملها المسؤول.
وبعبارة غير تقنية ، استخدم المتسللون مشكلة عدم الحصانة لتسجيل حسابات جديدة ظهرت كمشتركين في قاعدة بيانات موقع WP ولكن يبدو أن هذه الحسابات لديها قدرات مماثلة كحساب مسؤول.
في هجمات المتابعة التي تم اكتشافها بواسطة Defiant ، قام المتسللون بتبديل وضع التشغيل الخاص بهم وبدأوا في تعديل إعدادات "الدور الافتراضي" بدلاً من wp_user_roles المستخدمة سابقًا. "مع الهجوم الجديد ، كرر جميع الحسابات التي تم إنشاؤها حديثًا مسؤوليات المسؤول الحسابات.
وفقًا لتقارير Defiant ، تتبع كلتا المجموعتين المتسللتين آخر روتين.
ومع ذلك ، تزعم Defiant أن التشابه ينتهي هناك. بينما تتوقف إحدى المجموعتين عن أي نشاط بعد إنشاء حساب مشرف مستتر على الموقع الذي تم اختراقه ، تقوم المجموعة الثانية بتعديل موقع الويب لإعادة توجيه الزوار إلى المواقع الضارة.
إصلاح المواقع المعرضة للخطر
يُنصح المواقع التي تستخدم البرنامج المساعد Easy WP SMTP بتحديث ملفاتها إلى الإصدارات الحديثة من v1.3.9.1. بعد تحديث المكونات الإضافية ، توصي كل من شركات الأمن السيبراني بإجراء تدقيق في قسم مستخدمي الموقع للحسابات المضافة حديثًا على المستويين - أي المشترك والمسؤول.
كما نشرت شركة أخرى لأمن وورد بريس وايت فير ديزاين نفس التحذير في تقريرهم حول هذه الهجمات وتتوقع أن يتم إساءة استخدام العديد من العيوب الأخرى الموجودة في نفس البرنامج المساعد.
كونها واحدة من أنظمة CMS الرائدة ، فإن مواقع WP عرضة للقرصنة. كشف تقرير نشرته شركة الأمن الالكترونى سوكوري أن 90 في المائة من جميع أنظمة إدارة المحتوى المخترق هي مواقع ووردبريس.
تحديث: في غضون ساعات قليلة من نشر هذا المقال ، بدأت الأخبار تتداول فيما يتعلق بالاستغلال لليوم الثاني من قبل المتسللين. هذا اليوم الثاني من اليوم مصمم على التأثير على المكون الإضافي Social Warfare ، الذي تمت إزالته مؤقتًا من مستودع المكونات الإضافية لبرنامج وورد بريس - حتى يقدم المطور تحديثًا.
"أرسل فريق التطوير الخاص بنا Social Warfare V3.5.3 إلى مستودع تحديث وورد بريس ، والذي يعالج مشكلة عدم الحصانة هذه ويتراجع عن أي تغييرات يقوم بها. يرجى تسجيل الدخول إلى لوحة بيانات وورد بريس وتطبيق هذا التحديث في أقرب وقت ممكن." فريق الإضافات.
Post a Comment