وبلاگ کسپرسکی آنلاین | حمله روز صفر به پلت‌فرم تجارت الکترونیک WooCommerce

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین پی برده‌اند آسیب‌پذیری امنیتی تزریق SQL مهم در پلت‌فرم تجارت الکترونیک WooCommerce و پلاگین مربوطه بعنوان یک باگ روز صفر مورد حمله قرار گرفت است. این اکسپلویت WooCommerce را مجبور کرد تا نهایتاً برای آن پچی اورژانسی منتشر کند. باگ مذکور می‌توانست به مهاجمین سایبری و قانون‌شکن اجازه دهد اطلاعات را از پایگاه اطلاعاتی این فروشگاه آنلاین سرقت کنند- هر چیزی از داده‌های مشتری گرفته تا اطلاعات کارت پرداخت و اطلاعات شخصی کارمند. WooCommerce که یک پلت‌فرم محبوب تجارت الکترونیک منبع باز برای وبسایت‌هاست روی WordPress اجرا می‌شود؛ وردپرسی که روی بیش از 5 میلیون سایت در سراسر جهان نصب شده است. وردپرس در حقیقت به تاجرین آنلاین اجازه می‌دهد با گزینه‌های قابل‌سفارشی‌سازی مختلف مانند انوع پرداختی‌های قابل‌قبول، قابلیت‌های شیپینگ، محاسبات مالیات فروش و غیره برای خود ویترین درست کنند.

پلاگین آلوده‌شده بواسطه این باگ، همان قابلیت WooCommerce Blocks است که روی بیش از 200 هزار سایت نصب شده است. این قابلیت در واقع به تاجرین کمک می‌کند تا محصولات خود را روی صفحات وبی نمایش دهند. این باگ (پندینگ CVE) در اصل توسط جاش لدفورد از مرکز امنیت عملیاتیِ توسعه با کمک توماس دووس محقق امنیتی از تیم هکروان گزارش شد. دووس در توییتر خود اعلام کرد که توانسته یک اکسپلویت اثبات مفهوم فعال را در دست گیرد اما او جزئیات این باگ را منتشر نکرد تا درست بعد از اینکه زمانی برای تاجرین باشد که پچی را به کار ببرند. بنابراین جزئیات فنی شاید نشان‌دهنده‌ی این باشد که تزریق SQL انجام شده بوده است: نوعی حمله که به مجرم سایبری اجازه می‌دهد در جستجوهایی که اپلیکیشن در پایگاه اطلاعاتی‌اش درست می‌کند تداخل ایجاد کند. معمولاً این امر با درج جملات آلوده‌ی SQL در هر فیلد ورودی برای اجرا میسر می‌شود.

اکسپلویت در محیط بیرون

اینکه چقدر از این اکسپلویت هنوز در فضای بیرون مانده نامشخص است. بو لبنز، رئیس بخش مهندسی WooCommerce در این خصوص چنین می‌گوید، «بررسی‌های ما روی این آسیب‌پذیری و اینکه آیا داده دستکاری شده است یا نه هنوز ادامه دارد. ما اطلاعات بیشتری را با صاحبان سایت در میان خواهیم گذاشت؛ اینکه چطور باید این آسیب‌پذیری امنیتی را روی سایت‌هایشان بررسی کرد و اینکه آیا فروشگاهی آلوده شده و اطلاعات اکسپوز شده فقط به این محدود به آنچه سایت دارد ذخیره می‌کند محدود خواهد بود یا نه».

به گفته محققین در Wordfence «نشان و علایم کمی از اقدامات اکسپلویت دیده شده و احتمال دارد چنین اقداماتی بسیار هدفمند بوده باشند». این را هم بگوییم که یکی از کاربران در بخش کامنت‌های مشاوره WooCommerce نوشته بود که فعالیتی نامعمول مشاهده شده است.

«درست چند ساعت پیش از اعلامیه شما و ایمیل، سایتی که مدیریتش می‌کردم دچار ترافیک شدید اینترنتی شد و بعدش پیام‌های عجیب و غریب مختلف برایم آمد. تا اینجای کار اینطور حدس می‌زنم که خرابکاری و غرض‌مندی در کار نبوده و لاگین‌های فِیل‌شده فقط آی‌پی‌شان ممنوع شده بوده است. شاید همه اینها همزمانی بوده و دسیسه‌ای در کار نیست».

محققین Wordfence برای اینکه تشخص دهید سایتی از پی این حمله خطری متوجهش شده یا نه لاگ فایل‌هایش را بررسی کند شاید نشانه‌هایی در آن‌ها دید. این آسیب‌پذیری روی نسخه‌های 3.3 تا 5.5 پلاگین WooCommerce و نسخه‌های 2.5 تا 5.5 پلاگین WooCommerce Blocks تأثیر گذاشته است. لبنز می‌گوید این شرکت پچی برای همه نسخه‌های تحت خطر ارائه داده که به طور خودکار روی فروشگاه‌های آسیب‌پذیر اعمال شده (بیش از 90 پچ). WooCommerce همچنین توصیه می‌کند پسوردهای ادمین ریست شوند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.