بهره‌برداری از آسیب‌پذیری‌های جدید افزونه‌ی وردپرس در عملیات تبلیع‌افزاری

پژوهش‌گران Defiant، شرکت پشتیبان افزونه‌ی امنیتی Wordfence برای وب‌گاه‌های وردپرس، یک پویش تبلیغ‌افزاری کشف کرده‌اند که از آسیب‌پذیری‌های افزونه‌ی جدید برای تزریق کد مخرب به وب‌گاه‌ها استفاده می‌کند. نفوذگران از آسیب‌پذیری‌های موجود در افزونه‌های وردپرس مانند «coming Soon and Maintenance Mode»، «Yellow Pencil Visual CSS Style Editor» و «Blog Designer» برای دست‌یابی به اهداف خود استفاده می‌کنند. هریک از این افزونه‌ها هزاران یا ده‌ها هزار نصب فعال دارند.

به‌گفته‌ی Defiant، مهاجمان از این آسیب‌پذیری‌ها برای تزریق یک قطعه کد جاوا اسکریپت کوچک در وب‌گاه‌های وردپرس آسیب‌دیده بهره‌برداری می‌کنند. این اسکریپت برای واکشی کدهای بیشتر از یک دامنه‌ی خارجی و اجرای آن کد در زمان بازدید کاربر از وب‌گاه آسیب‌دیده طراحی شده است.

قربانیان ابتدا به یک دامنه‌ای هدایت می‌شوند که نوع دستگاهی که از آن استفاده می‌کنند، بررسی می‌کند، طبق این بررسی و سایر عوامل، آن‌ها را به یکی از انواع مقاصد مخرب یا کلاه‌برداری ازجمله کلاه‌برداری‌های فنی و برنامه‌های اندرویدی مخرب هدایت می‌کند. در برخی موارد، این بهره‌برداری به‌طور مستقیم مرورگر کاربر را هدف قرار می‌دهد و تلاش می‌کند تا آن‌ها را متقاعد کند و روی عناصر متفاوت کلیک کنند.

مهاجمان از آسیب‌پذیری‌های XSS ذخیره‌شده در Blog Designer و Coming Soon and Maintenance Mode و یک ضعف در به‌روزرسانی گزینه‌های دلخواه غیرمجاز در افزونه‌ی Yellow Pencil بهره‌برداری کرده است. آسیب‌پذیری Yellow Pencil اولین بار در ماه آوریل و تنها چند روز پس از آن‌که پژوهش‌گری جزئیات آن را افشا کرد و یک اثبات مفهومی منتشر کرد، بهره‌برداری شد. این آسیب‌پذیری می‌تواند برای مهاجمان بسیار مفید باشد، زیرا به آن‌ها اجازه می‌دهد تا کاربران مدیر جدیدی ایجاد کنند و به آن‌ها این امکان را می‌دهد تا به‌راحتی کنترل یک وب‌گاه وردپرس را به دست گیرند.

بیشتر تزریق‌های XSS در سراسر این پویش توسط آدرس‌های آی‌پی مرتبط با ارائه‌دهندگان خدمات میزبانی محبوب ارسال شده بودند. با حملاتی که منبع آن‌ها آدرس‌های آی‌پی میزبان چند وب‌گاه زنده بود و شواهد مربوط به آلودگی وب‌گاه‌های مرتبط با این پویش، احتمال آن وجود دارد که این عامل تهدید درحال استفاده از وب‌گاه‌های آلوده برای انجام حملات XSS به‌وسیله‌ی پروکسی است.

منبع

پست‌های مشابه

Leave a Comment