هکر با استفاده از حفرهی امنیتی جدید در وردپرس، به داشبورد این نرم افزارِ مدیریتِ محتوا وارد شده و اقدام به هکِ وردپرس یا آپلود فایلهای شل بر روی هاست میپردازد. این باگ فقط در نسخهای از ورپرس مشاهده شده که به صورت پیش فرض در آن، قالب TwentyFifteen و پلاگین JetPack نصب شده باشد.
XSS یکی از روشهای نفوذ به وبسایتها است و وجود حفرههای امنیتی مرتبط با آن در یک وبسایت، امکان بروز چنین حملاتی را افزایش میدهد. در این نوع حملات مهاجمان سایبری با تزریق اسکریپتهای مخرب به وبسایت، در واقع بازدیدکنندهی این وبسایت را هدف قرار میدهند و میتوانند اطلاعات کاربران را به سرقت ببرند. XSS کوتاهشدهی عبارت Cross Site Scripting است، البته سرنام واقعی این عبارت به صورت CSS است که چون این مخفف در دنیای وب از چندین سال پیش استفاده میشد، عبارت XSS جایگزین آن شده است.
آسیب پذیری جدید برخی افزونههای وردپرس را هدف قرار میدهد که قالب TwentyFifteen و پلاگین JetPack جزو این افزونههای آسیب پذیر است. حتی اگر در هاست وبسایت شما فایلی به نام example.html وجود داشته باشد، احتمال آسیب پذیری وبسایتتان افزایش خواهد یافت. از اینرو برای جلوگیری از هرگونه حملات سایبری ابتدا این فایل را از وردپرس خود پاک کنید. شرکت امنیتی Sucuri چندین کمپانی فعال در هاستینگ مانند Godaddy، Dreamhost و WPEngine را معرفی کرده که به این حملات آسیب پذیر هستند. البته این شرکتها سریعا بروزرسانی را برای رفع این مشکل ارائه کردهاند.
اما برای ایمن ماندن از هرگونه حملات انجام چند نکته نیز ضروری است؛ به همین منظور ابتدا به پنل مدیریتی وردپرس رجوع کرده و بروزرسانی افزونهها را نصب کنید. پس از آن استفاده از یک فایروال قوی نیز توصیه میشود. این نکته را هم در نظر داشته باشید که هرچهقدر هم که امنیت وبسایت شما برایتان مهم نباشد، با نفوذ و اجرای حمله در وبسایت و به همین ترتیب در سرور، احتمال هک شدن وبسایتهای دیگر موجود در همان سرور نیز افزایش مییابد، به عبارتی حملات مَسدیفیس به راحتی قابل اجرا شدن خواهد بود.
آسیبپذیری امنیتی وردپرس
گروه امنیتی Wordfence آسیبپذیری امنیتی مهمی را در وردپرس پیدا کردهاند که مجرمان سایبری از یک ماه پیش از آنها سوءاستفاده میکنند. مجرمان با استفاده از آسیبپذیریهای مذکور، امکان ساخت حسابهای کاربری مدیر سیستم (Admin) دارند. تحقیق امنیتی اخیر نشان میدهد که مجرمان هنوز از آسیبپذیریها سوءاستفاده میکنند.
محققان امنیتی به این نتیجه رسیدند که مجرمان با استفاده از آسیبپذیری موجود در افزونههای وردپرس، کدهای مخرب جاوااسکریپت را در وبسایتهای قربانی تزریق میکنند. پس از تزریق کدها در بخش ظاهری (Front end)، کاربران به سمت محتوای مخرب هدایت میشوند. در توضیح محتوای مخرب میتوان انواع سرویسهای نصب بدافزار یا وبسایتهایی با هدف دزدیدن اطلاعات کاربران را نام برد. بسیرای از حملهها نیز بهصورت ماهرانه مخفی میشوند تا ابزارهای مبتنی بر WAF یا IDS توانایی شناسایی آنها را نداشته باشند.
بررسی محققان Wordfence نشان داد که حمله به وبسایتهای وردپرسی از IPهای متنوعی صورت میگیرد و البته برخی از آنها به ارائهکنندههای خدمات هاستینگ مربوط میشوند. البته پس از آنکه اخبار آسیبپذیری منتشر شد، بسیاری از IPها عملیات خرابکارانهی خود را متوقف کردند. مایکی وینسترا از محققان Wordfence در یک پست وبلاگی توضیح داد که اکثر حملهها به وبسایتهای وردپرسی از یک آدرس IP شروع میشدهاند:
IP مورد نظر، 104.130.139.134 است که به سرورهای Rackspace تعلق دارد و بسیاری از وبسایتهای قربانی در آن پشتیبانی میشوند. ما با Rackspace تماس گرفتیم و تهدید مذکور را برای آنها شرح دادیم. امیدوار هستیم که هرچه سریعتر راهکاری برای جلوگیری از حملههای مشابه از طریق سرورهای مذکور پیادهسازی شود. البته هنوز پاسخی دریافت نکردهایم.
آسیبپذیری افزونههای وردپرس
حملههایی که توسط گروه محققان کشف شدند، از آسیبپذیریهای مشهور در افزونههای وردپرس استفاده میکنند. از میان مشهورترین آنها میتوان به افزونههای nd-booking، nd-travel و nd-learning از NicDark اشاره کرد.
بیشتر بدانید:چهار سناریویی که آینده امنیت سایبری را به خطر می اندازند
تحقیق اولیه روی کمپین مجرمان سایبری نشان میداد که اسکریپتهای مخرب به وبسایت تزریق میشوند. اسکریپتها باعث ایجاد آدرسهای هدایت (redirect) یا پاپآپ برای کاربری میشوند که از وبسایت قربانی بازدید میکند. بررسی عمیقتر نشان داد که اسکریپتی دیگر با هدف نصب در پشتی در وبسایت هم طی حمله تزریق میشود.
درنهایت مانند بسیاری از تحقیقهای امنیتی، راهکارهای مقابله با نفوذ هم از سوی تیم محققان ارائه شد. در متن بیانیهی مرتبط با حملهی سایبری میخوانیم:
مانند همیشه، بهروزرسانی افزونهها و تمهای وردپرس بهترین لایهی امنیتی را در برابر کمپینهای مجرمان سایبری ایجاد میکند. بهصورت منظم نیاز به بهروزرسانی را در وبسایت خود بررسی کنید و از دریافت آخرین پچهای امنیتی مطمئن شوید.