هدف قرارگرفتن نزدیک به یک میلیون وب‌سایت وردپرس با بهره‌برداری از آسیب‌پذیری‌های قدیمی

به گزارش محققان امنیتی، یک پویش گسترده بیش از ۹۰۰هزار وب‌سایت وردپرس را از طریق بهره‌داری از آسیب‌پذیری‌های موجود در افزونه‌ها و تِم‌ها هدف قرار داده است. این حمله در ابتدا در ۲۸ آوریل شناسایی شد، اما در ۳ ماه مه هنگامی که بیش از نیم‌میلیون وب‌سایت مورد حمله قرار گرفتند، به اوج خود رسید.

طبق گزارش‌ها، این پویش به‌منظور تزریق جاوااسکریپت مخرب به وب‌سایت‌ها و با هدف هدایت بازدیدکنندگان به وب‌سایت‌های مخرب طراحی شده است. محققان دریافتند که طی یک ماه گذشته، بیش از ۲۴هزار آدرس IP مجزا برای حمله به بیش از ۹۰۰هزار وب‌سایت به کار گرفته شده‌اند.

به گفته‌ی محققان، آسیب‌پذیری‌های هدف جدید نیستند و در حملات قبلی نیز مورد بهره‌برداری قرار گرفته‌اند. این آسیب‌پذیری‌ها شامل اشکال‌های اسکریپت‌نویسی میان‌وبگاهی در افزونه‌های Easy2Map (حذف‌شده از مخزن وردپرس در آگوست ۲۰۱۹ میلادی)، Blog Designer (وصله‌شده در سال ۲۰۱۹) و تِم Newspaper (وصله‌شده در سال ۲۰۱۶) و اشکال‌های گزینه‌های به‌روزرسانی در WP GDPR Compliance (وصله‌شده در اواخر سال ۲۰۱۸) و Total Donations (حذف‌شده در اوایل سال ۲۰۱۹) هستند.

محققان اعلام کردند، کد جاوااسکریپتی که مهاجمان سعی در واردکردن آن به وب‌سایت‌های هدف دارند، در count[.]trackstatisticsss[.]com/stm قرار داشته و بررسی می‌کند که آیا قربانی کوکی‌های ورودی وردپرس را تنظیم کرده است یا خیر. مهاجمان امیدوارند که این اسکریپت در مرورگر مدیر اجرا شود. مدیرانی که وارد وب‌سایت نشده و در صفحه‌ی ورود به سیستم نیستند، به یک وب‌سایت مخرب هدایت می‌شوند. در غیر این صورت، اسکریپت سعی می‌کند یک درب پشتی مخرب PHP را به هدر تِم فعلی و نیز، جاوااسکریپت مخرب دوم را تزریق کند.

این درب پشتی یک بارداده‌ی دیگر را از https://stat[.]trackstatisticsss[.]com/n.txt دانلود کرده و تلاش می‌کند تا با درج‌کردن آن در هدر تِم، آن را اجرا کند. این روش به مهاجم اجازه می‌دهد تا کنترل وب‌سایت را حفظ کند، زیرا می‌تواند محتویات فایل در https://stat[.]trackstatisticsss[.]com/n.txt را به کد موردنظر خود تغییر دهد. این کد برای تعبیه‌ی یک webshell، ایجاد یک مدیر مخرب و یا حتی، حذف کامل محتوای وب‌سایت مورد استفاده قرار می‌گیرد.

بارداده‌ی نهایی مورد استفاده در این حمله به‌گونه‌ای طراحی شده است که نوعی از اسکریپت اولیه را به ابتدای هر فایل جاوااسکریپت موجود در وب‌سایت و همچنین، تمامی فایل‌های.htm ، .html و .php با نام «index» ضمیمه می‌کند. علاوه‌براین، این بارداده وب‌سایت آلوده را هر ۶۴۰۰ ثانیه یک‌بار بررسی کرده و در صورت لزوم، مجدداً آن را آلوده می‌کند.

به مدیران وب‌سایت‌ها توصیه می‌شود برای اطمینان از امنیت وب‌سایت‌های خود، تمامی افزونه‌ها را به‌روز کرده و آن دسته از افزونه‌هایی که از مخزن افزونه‌های وردپرس حذف شده‌اند، را حذف و غیرفعال کنند.

منبع

پست‌های مشابه

Leave a Comment