روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای شرکت‌هایی که از سایت‌های وردپرس با مکانیزم احراز هویت دوعاملی پیاده‌سازی‌شده از طریق پلاگین  Really Simple Security  استفاده می‌کنند خبر بدی داریم: آسیب‌پذیری تازه کشف‌شده‌ی CVE-2024-10924 در این پلاگین به فردی کاملاً غریبه اجازه تام می‌دهد تا به عنوان کاربر قانونی خود را احراز کند. از این رو توصیه می‌کنیم خیلی سریع این پلاگین را به روز کنید.

چرا این آسیب‌پذیری خطرناک است؟

هرچند ممکن است کنایه‌آمیز به نظر برسد اما آسیب‌پذیری CVE-2024-10924 در پلاگین Really Simple Security در امتیازبندی CVSS رتبه 9.8 را دارد و در گروه «حیاتی» قرار گرفته. در اصل به دلیل خطای مکانیزم احراز است که ما به این آسیب‌پذیری اجازه حضور دادیم. با این باگ، مهاجم می‌تواند مانند هر کاربر قانونی وارد سایت شده و مزیت‌های خود را داشته باشد (حتی می‌تواند به حقوق ادمین دسترسی داشته باشد). در نتیجه، این به تسخیر وبسایت منجر خواهد شد. مفهوم اثباتی که اکسپلویت از این آسیب‌پذیری را نشان می‌دهد می‌تواند از قبل روی گیت‌هاب پیدا شود. افزون بر این، ظاهراً اکسپلویت آن می‌تواند خودکار صورت گیرد. محققین  Wordfence که کاشفین  CVE-2024-10924 هستند آن را خطرناک‌ترین آسیب‌پذیری‌ای که در دوازده سال اخیر در حوزه امنیت وردپرس دیده شده می‌نامند.

چه کسی می‌تواند قربانی این آسیب‌پذیری باشد؟

کاربران هر دو نسخه رایگان و پولی پلاگین Really Simple Security از سازه 9.0.0 تا 9.1.1.1 آسیب‌پذیر هستند. با این حال برای اکسپلویت CVE-2024-10924، پلاگین باید گزینه احراز هویت دوعاملی‌اش فعال باشد (این قابلیت به طور پیش‌فرض غیرفعال است اما بسیاری از کاربران مشخصاً این پلاگین را برای چنین قابلیتی انتخاب می‌کنند). به لطف وجود نسخه رایگان این پلاگین، این نسخه به شدت محبوب است. طبق گفته محققین حدود 4 میلیون سایت آن را نصب دارند.

راهکارهای امنیتی

اول از همه، توصیه می‌کنیم پلاگین را به نسخه 9.1.2 آپدیت کنید. اگر بنا به دلایلی این امکان وجود نداشت ارزش دارد که تأییدیه احراز دو عاملی را غیرفعال کنید اما این واضحاً نمی‌تواند گزینه ایده‌آلی باشد زیرا امنیت سایت، پایین می‌آید. WordPress.org یک مکانیزم آپدیت خودکار پلاگین فعال کرده اما ادمین‌ها بهتر است به کنترل پنل رفته و تضمین دهند پلاگین آپدیت دشه. وبسایت توسعه‌دهندگان پلاگین همچنین بخشی دارد با توصیه‌هایی در باب آپدیت برای وقتی که احیاناً آپدیت خودکار کار نمی‌کند. علاوه بر این، حتی اگر سریعاً پلاگین را به روز کردید و در نگاه اول متوجه فعالیت مخرب روی سایت نشدید عقلانی است که به دقت فهرست کاربران با حقوق ادمین را بررسی کنید- صرفاً برای حصول اطمینان از اینکه ورودی‌های ناآشنا آنجا وجود ندارد.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.