روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اکسپلویتهای فعال در حال هدف قرار دادنِ نقص تازه پچشدهای در افزونهی Duplicator محبوب پلاگین وردپرس[1] هستند که تا به حال بیش از یک میلیون نصب فعال داشته است. محققین تاکنون 60 هزار اقدام جهت جمعآوری اطلاعات حساس از قربانیان مشاهده کردهاند. محققینِ Wordfence که این حملات را کشف کردند چند روز گذشته خبر دادند 50 هزار عدد از آن حملات پیش از اینکه سازندهی افزونهی Duplicator یعنی Snap Creek برای باگ 12 فوریه پچی ارائه دهد رخ دادند- بنابراین در فضای بیرون به عنوان روز صفر اکسپلویت شده بوده است.
باگ
Duplicator در حقیقت یک بکآپ ساده و ابزار مهاجرت سایت است. این افزونه به ادمینهای سایت وردپرس این توانایی را میدهد تا از سایتی مهاجرت کرده، آن را کپی، انتقال و یا شبیهسازی کنند. وردپرس میگوید Duplicator بیش از 15 میلیون بار است که دانلود شده و در بیش از یک میلیون سایت است که به طور فعالانه مورد استفاده قرار میگیرد. متأسفانه، Duplicator قبل از نسخه 1.3.28 و Duplicator قبل از نسخه 3.8.7 حاوی یک آسیبپذیریِ دانلود فایل تعمدی و محرزنشده میباشند. شرکت Tenable چنین میگوید: «یک مهاجم ریموت که هویت محرزنشدهای دارد میتواند با ارسال درخواستی خوشساخت به سایت وردپرس بواسطهی نسخهی آسیبپذیر پلاگین Duplicator این آسیبپذیری را اکسپلویت کند». این کار در واقع به مهاجمین اجازه میدهد تا فایلهای بیرون از دایرکتوریِ مورد نظر را دانلود کنند.
محقق شرکت Tenable در ادامه گفت، «تنها مانع این است که مهاجم به یک سری اطلاعات در خصوص ساختار فایل مورد هدف یا اقدام برای دانلود فایلهایی که همهشناس هستند نیاز خواهد داشت». دو قابلیت duplicator_download و duplicator_init در نسخههای پچنشده آسیبپذیر هستند چون با استفاده از wp_ajax_nopriv_ hook پیادهسازی شدهاند. در عمل این بدان معناست که آنها روی هر صفحهی وردپرس که لود میشود -فرقی ندارد کاربر لاگ شده یا نه- اجرا خواهند شد. «داخل این قابلیتها، پارامترهای فایل گرچه طبق اصول بهداشتی رفتار میکرده ولی معتبر نبوده، بنابراین مهاجم میتوانست برای دسترسی به فایلهای خارج از مسیر مشخص Duplicator از مسیری پیمایشی استفاده کند. این فایلها شامل wp-config.php file میشوند». این همان فایل تنظیمات سایت وردپرس است که در خود پایگاه اطلاعاتی مهمی دارد و همچنین از کلیدهای احراز هویت هم برخوردار است.
حملات
به نقل از وردپرس، آن 60 هزار اقدام به اکسپلویتی که در تلهمتری مشتریاش دید همه تلاش هایی بودند برای دانلود فایل wp-config.php. بسته به سایت، wp-config.php میتواند حاوی هر مقدار کد سفارشی باشد اما مهاجمین آن را هدف قرار میدهند تا بتوانند به پایگاه اطلاعاتی یک سایت دسترسی پیدا کنند. مهاجم با در دست داشتن این اطلاعات محرمانه میتواند مستقیماً به پایگاه اطلاعاتی سایت قربانی دسترسی پیدا کند (البته اگر کانکشنهای ریموت میسر شود). این دسترسی میتواند توسط مهاجم برای ساخت اکانت شخصی ادمین و سپس دستکاری سایت مورد استفاده قرار گیرد. یا شاید تنها برای تزریق محتوا یا جمعاوری داده به کار رود.
با این تفاسیر حتی وبسایتهایی که تنظیمات پایگاه اطلاعاتیشان طوریست که فقط مخصوص دسترسیهای داخلیست هم میتوانند مورد دستبرد واقع شوند- اگر این پایگاههای اطلاعاتی در محیط میزبانیِ همگانی قرار گرفته باشند. این امکان وجود دارد که کاربری که در سروری مشترک قرار دارد بتواند به پایگاه اطلاعاتی داخلی سایت دیگر روی همان سرور دسترسی داشته باشد.
تقریباً تمام حملاتی که محققین شاهدش بودند از یک آدرس آیپی مشترک یعنی 77.71.115.52 آمده بودند. این به مرکز اطلاعاتی بلغارستان که صاحبش Varna Data Center EOOD است مربوط میشود. این حملات با استفاده از رشتههای جستوجوی action=duplicator_download و file=/../wp-config.php از طریق درخواستهای GET صادر میشوند. کلی از وبسایتها روی همین سرور میزبانی میشوند و این نشان میدهد که مهاجم میتواند از طریق وبسایتی دستکاریشده حملات خود را پیش ببرند. افزون بر این، Wordfence افزود که همان آدرس آیپی به فعالیت مخرب اخیر دیگری علیه وردپرس هم وصل است؛ بنابراین محققین همچنان دارند این وضعیت را مورد نظارت و کنترل قرار میدهند. پایگاه نصب گسترده Duplicator ترکیبشده با راحتیِ اکسپلویت این آسیبپذیری چنین نقصی را به طعمهی لذیذی برای هکرها تبدیل کرده است. خیلی مهم است که کاربران Duplicator پلاگینهای خود را به آخرین نسخهی موجود (هر چه سریعتر) آپدیت کنند تا این خطر از بین برود.
همانطور که گفته شد، Snap Creek در تاریخ 12 فوریه برای باگ موجود در Duplicator نسخه 1.3.28 و Duplicator Pro نسخه 3.8.7.1 فکر چاره کرد. قویاً به کاربران Duplicator و Duplicator Pro توصیه میشود هر چه سریعتر به نسخههای 1.3.28 و 3.8.7.1 یا بالاتر ارتقا پیدا کنند. پلاگینهای آسیبپذیر وردپرس هنوز هم گریبانگیر وبسایتها هستند.
اوایل ماه فوریه (بعنوان مثال) نقصی مهم در پلاگین محبوب وردپرس که کمک میکند وبسایتها با GDPR تطابق داشته باشند آشکار شد. این نقص میتوانست کاری کند مهاجمین بتوانند محتوا را دستکاری کرده یا کد جاوااسکریپت آلودهای را به وبسایتهای قربانی تزریق کنند. این نقص 700 هزار سایت را تحتالشعاع قرار داد. خط مقدم هر سازمانی وبسایتش است برای همین میتواند هدفی باشد برای مهاجمین؛ چراکه با دسترسی به وبسایت آنها میتوانند کد آلودهای را برای همهی کسانیکه از وبسایت مورد نظر دیدن میکنند نصب کنند. امنیت وبسایتها باید بسیار قوی باشد و مدام برنامهی کنترل آن تغییر کند. سازمانهایی که از پلاگینها استفاده میکنند باید تمام آپدیتها را اعتبارسنجی کرده و برای کاهش خطر آلوده کردن بازدیدکنندگان، آنها را تست کنند.
[1] یک سیستم مدیریت محتوا برای راه اندازی و ایجاد سایتها و وبلاگها است.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.