حمله به افزونه‌ی محبوبِ Duplicator پلاگینِ وردپرس

06 اسفند 1398 حمله به افزونه‌ی محبوبِ Duplicator پلاگینِ وردپرس

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اکسپلویت‌های فعال در حال هدف قرار دادنِ نقص تازه پچ‌شده‌ای در افزونه‌ی Duplicator محبوب پلاگین وردپرس[1] هستند که تا به حال بیش از یک میلیون نصب فعال داشته است. محققین تاکنون 60 هزار اقدام جهت جمع‌آوری اطلاعات حساس از قربانیان مشاهده کرده‌اند. محققینِ Wordfence که این حملات را کشف کردند چند روز گذشته خبر دادند 50 هزار عدد از آن حملات پیش از اینکه سازنده‌ی افزونه‌ی Duplicator یعنی Snap Creek برای باگ 12 فوریه پچی ارائه دهد رخ دادند- بنابراین در فضای بیرون به عنوان روز صفر اکسپلویت شده بوده است.

باگ

Duplicator در حقیقت یک بک‌آپ ساده و ابزار مهاجرت سایت است. این افزونه به ادمین‌های سایت وردپرس این توانایی را می‌دهد تا از سایتی مهاجرت کرده، آن را کپی، انتقال و یا شبیه‌سازی کنند. وردپرس می‌گوید Duplicator بیش از 15 میلیون بار است که دانلود شده و در بیش از یک میلیون سایت است که به طور فعالانه مورد استفاده قرار می‌گیرد. متأسفانه، Duplicator قبل از نسخه 1.3.28 و Duplicator قبل از نسخه 3.8.7 حاوی یک آسیب‌پذیریِ دانلود فایل تعمدی و محرزنشده می‌باشند. شرکت Tenable چنین می‌گوید: «یک مهاجم ریموت که هویت محرزنشده‌ای دارد می‌تواند با ارسال درخواستی خوش‌ساخت به سایت وردپرس بواسطه‌ی نسخه‌ی آسیب‌پذیر پلاگین Duplicator این آسیب‌پذیری را اکسپلویت کند». این کار در واقع به مهاجمین اجازه می‌دهد تا فایل‌های بیرون از دایرکتوریِ مورد نظر را دانلود کنند.

 محقق شرکت Tenable در ادامه گفت، «تنها مانع این است که مهاجم به یک سری اطلاعات در خصوص ساختار فایل مورد هدف یا اقدام برای دانلود فایل‌هایی که همه‌شناس هستند نیاز خواهد داشت». دو قابلیت duplicator_download و duplicator_init در نسخه‌های پچ‌نشده آسیب‌پذیر هستند چون با استفاده از wp_ajax_nopriv_ hook پیاده‌سازی شده‌اند. در عمل این بدان معناست که آن‌ها روی هر صفحه‌ی وردپرس که لود می‌شود -فرقی ندارد کاربر لاگ شده یا نه- اجرا خواهند شد. «داخل این قابلیت‌ها، پارامترهای فایل گرچه طبق اصول بهداشتی رفتار می‌کرده ولی معتبر نبوده، بنابراین مهاجم می‌توانست برای دسترسی به فایل‌های خارج از مسیر مشخص Duplicator از مسیری پیمایشی استفاده کند. این فایل‌ها شامل wp-config.php file می‌شوند». این همان فایل تنظیمات سایت وردپرس است که در خود پایگاه اطلاعاتی مهمی دارد و همچنین از کلیدهای احراز هویت هم برخوردار است.

حملات

به نقل از وردپرس، آن 60 هزار اقدام به اکسپلویتی که در تله‌متری مشتری‌اش دید همه تلاش هایی بودند برای دانلود فایل wp-config.php. بسته به سایت، wp-config.php می‌تواند حاوی هر مقدار کد سفارشی باشد اما مهاجمین آن را هدف قرار می‌دهند تا بتوانند به پایگاه اطلاعاتی یک سایت دسترسی پیدا کنند. مهاجم با در دست داشتن این اطلاعات محرمانه می‌تواند مستقیماً به پایگاه اطلاعاتی سایت قربانی دسترسی پیدا کند (البته اگر کانکشن‌های ریموت میسر شود). این دسترسی می‌تواند توسط مهاجم برای ساخت اکانت شخصی ادمین و سپس دستکاری سایت مورد استفاده قرار گیرد. یا شاید تنها برای تزریق محتوا یا جمع‌اوری داده به کار رود.

با این تفاسیر حتی وبسایت‌هایی که تنظیمات پایگاه اطلاعاتی‌شان طوریست که فقط مخصوص دسترسی‌های داخلیست هم می‌توانند مورد دستبرد واقع شوند- اگر این پایگاه‌های اطلاعاتی در محیط میزبانیِ همگانی قرار گرفته باشند. این امکان وجود دارد که کاربری که در سروری مشترک قرار دارد بتواند به پایگاه اطلاعاتی داخلی سایت دیگر روی همان سرور دسترسی داشته باشد.

 تقریباً تمام حملاتی که محققین شاهدش بودند از یک آدرس آی‌پی مشترک یعنی 77.71.115.52 آمده بودند. این به مرکز اطلاعاتی بلغارستان که صاحبش Varna Data Center EOOD است مربوط می‌شود. این حملات با استفاده از رشته‌های جست‌وجوی action=duplicator_download و file=/../wp-config.php از طریق درخواست‌های GET صادر می‌شوند. کلی از وبسایت‌ها روی همین سرور میزبانی می‌شوند و این نشان می‌دهد که مهاجم می‌تواند از طریق وبسایتی دستکاری‌شده حملات خود را پیش ببرند. افزون بر این، Wordfence افزود که همان آدرس آی‌پی به فعالیت مخرب اخیر دیگری علیه وردپرس هم وصل است؛ بنابراین محققین همچنان دارند این وضعیت را مورد نظارت و کنترل قرار می‌دهند. پایگاه نصب گسترده Duplicator ترکیب‌شده با راحتیِ اکسپلویت این آسیب‌پذیری چنین نقصی را به طعمه‌ی لذیذی برای هکرها تبدیل کرده است. خیلی مهم است که کاربران Duplicator پلاگین‌های خود را به آخرین نسخه‌ی موجود (هر چه سریعتر) آپدیت کنند تا این خطر از بین برود.

همانطور که گفته شد، Snap Creek در تاریخ 12 فوریه برای باگ موجود در Duplicator نسخه 1.3.28 و Duplicator Pro نسخه 3.8.7.1 فکر چاره کرد. قویاً به کاربران Duplicator و Duplicator Pro توصیه می‌شود هر چه سریعتر به نسخه‌های 1.3.28 و 3.8.7.1 یا بالاتر ارتقا پیدا کنند. پلاگین‌های آسیب‌پذیر وردپرس هنوز هم گریبان‌گیر وبسایت‌ها هستند.

اوایل ماه فوریه (بعنوان مثال) نقصی مهم در پلاگین محبوب وردپرس که کمک می‌کند وبسایت‌ها با GDPR تطابق داشته باشند آشکار شد. این نقص می‌توانست کاری کند مهاجمین بتوانند محتوا را دستکاری کرده یا کد جاوااسکریپت آلوده‌ای را به وبسایت‌های قربانی تزریق کنند. این نقص 700 هزار سایت را تحت‌الشعاع قرار داد. خط مقدم هر سازمانی وبسایتش است برای همین می‌تواند هدفی باشد برای مهاجمین؛ چراکه با دسترسی به وبسایت آن‌ها می‌توانند کد آلوده‌ای را برای همه‌ی کسانیکه از وبسایت مورد نظر دیدن می‌کنند نصب کنند. امنیت وبسایت‌ها باید بسیار قوی باشد و مدام برنامه‌ی کنترل آن تغییر کند. سازمان‌هایی که از پلاگین‌ها استفاده می‌کنند باید تمام آپدیت‌ها را اعتبارسنجی کرده و برای کاهش خطر آلوده کردن بازدیدکنندگان، آن‌ها را تست کنند. 

 

[1] یک سیستم مدیریت محتوا برای راه اندازی و ایجاد سایت‌ها و وبلاگ‌ها است.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    5,195,850 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,730,850 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    6,928,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,597,100 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,597,100 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    3,463,350 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    6,237,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد