Web Analytics Made Easy - Statcounter

هزاران سایت وردپرسی به خاطر یک آسیب‌پذیری امنیتی هک شدند

آسیب پذیری افزونه tagDiv یکی از افزونه‌های محبوب وردپرس منجر به هک شدن هزاران سایت وردپرسی شد
ارسال شده توسط تیم تحریریه آی‌تی‌جو ۱۸ مهر ۱۴۰۲ نرم افزار و اپلیکیشن

هزاران سایتی که از سیستم مدیریت محتوای وردپرس را اجرا می‌کنند، توسط یک کمپین سایبری هک شده‌اند که از آسیب‌پذیری در یک افزونه پرکاربرد سوءاستفاده کرده است.

افزونه آسیب‌پذیر، که تگ‌دیو کامپوزر (tagDiv Composer) نام دارد، یک افزونه اجباری در دو قالب محبوب وردپرس است: Newspaper و Newsmag. این تم‌ها از طریق مارکت‌های رسمی تم‌فارست و انواتو به فروش می‌رسند و بیش از 155000 دانلود رسمی دارند.

این آسیب‌پذیری که تحت عنوان CVE-2023-3169 نام‌گذاری شده است، به عنوان یک اسکریپت بین سایتی (XSS) شناخته می‌شود که به هکرها اجازه می‌دهد کدهای مخرب را به صفحات وبسایت تزریق کنند. این آسیب‌پذیری که توسط محقق ویتنامی Truoc Phan کشف شد، دارای رتبه خطر 7/1 از 10 است. این آسیب‌پذیری تا حدی درنسخه 4.1 افزونه tagDiv Composer و به طور کامل در نسخه 4.2 اصلاح شده است اما بسیاری از وبسایت‌ها هنوز از نسخه قدیمی استفاده می‌کنند و یا علیرغم به‌روزرسانی همچنان به اسکریپت‌های مخرب آلوده هستند.

بر اساس گزارشی که توسط محقق امنیتی دنیس سینگوبکو (Denis Sinegubko) نوشته شده است، عوامل تهدید از این آسیب‌پذیری برای تزریق اسکریپت‌های وب که نهایتاً بازدیدکنندگان را به سایت‌های کلاهبرداری هدایت می‌کند، سوء استفاده می‌کنند. این موضوع منجر به تبلیغ فناوری‌های جعلی، برنده‌های تقلبی در بخت‌آزمایی و ارسال نوتیفیکیشن‌های کلاهبرداری می‌شود، که مورد آخر بازدیدکنندگان را با نمایش کپچای جعلی نیز فریب می‌دهد.

سوکوری (Sucuri)، شرکت امنیتی که این محقق در آن فعالیت می‌کند، از سال 2017 این کمپین بدافزار را ردیابی کرده و نام آن را Balada گذاشته است. سوکوری تخمین می‌زند که در شش سال گذشته، Balada بیش از 1 میلیون سایت را در معرض خطر قرار داده است. ماه گذشته، Sucuri تزریق Balada را در بیش از ۱۷ هزار سایت شناسایی کرد که تقریباً دو برابر تعداد ماه قبل بود. بیش از 9000 مورد از آلودگی‌های جدید نتیجه تزریق‌هایی بود که با بهره‌برداری از آسیب‌پذیری CVE-2023-3169 امکان‌پذیر شد.

سوکوری موج‌های تزریق را ردیابی کرده است که این آسیب‌پذیری را افزایش می‌دهد. همه این آسیب‌پذیری‌ها حاوی یک اسکریپت متمایز هستند که در داخل تگ‌های زیر تزریق می‌شود و با استفاده از بررسی این تگ‌ها در سورس وبسایت می‌توانید اسکریپت مخرب را بیابید:

<style id="tdw-css-placeholder"></style><script>…محل قرارگیری اسکریپت مخرب…</script><style></style>

مهاجم در این حمله سایبری از کدهای پیچیده استفاده می‌کند تا تشخیص آن را سخت کند. اما می‌توان آن را در پایگاه داده سایت وردپرس، به ویژه در آپشن “td_live_css_local_storage” از جدول wp_options یافت.

Balada همیشه تلاش کرده است تا کنترل مداومی بر وب‌سایت‌هایی که مورد نفوذ قرار می‌دهد، به دست آورد. رایج‌ترین روشی که این کار را انجام می‌دهد، تزریق اسکریپت‌هایی است که حساب‌هایی با دسترسی ادمین ایجاد می‌کنند. اگر ادمین‌های واقعی اسکریپت‌های تغییر مسیر را شناسایی و حذف کنند، اما اجازه دهند حساب‌های مدیریت جعلی باقی بمانند، عامل تهدید از دسترسی خود برای اضافه کردن مجموعه جدیدی از اسکریپت‌های مخرب استفاده می‌کند.

هرکسی که سایتی را مدیریت می‌کند که از تم های وردپرس نیوزپیپر (Newspaper) یا نیوز مگ (Newsmag) استفاده می‌کند، باید هر دو سایت و گزارش رویداد خود را برای علائم عفونت با استفاده از بسیاری از راهکارهای موجود در پست Sucuri به دقت بررسی کند.

همانطور که گفته شد، عوامل تهدید Balada تلاش می‌کنند تا به سایت‌هایی که در معرض خطر قرار می‌دهند، دسترسی دائمی داشته باشند. بنابراین علاوه بر حذف اسکریپت مخرب اضافه شده، بررسی کدهای Backdoor و حساب‌های مدیریتی وردپرس نیز مهم است.

منبع
موضوع