به گزارش محققان امنیتی، یک پویش گسترده بیش از ۹۰۰هزار وبسایت وردپرس را از طریق بهرهداری از آسیبپذیریهای موجود در افزونهها و تِمها هدف قرار داده است. این حمله در ابتدا در ۲۸ آوریل شناسایی شد، اما در ۳ ماه مه هنگامی که بیش از نیممیلیون وبسایت مورد حمله قرار گرفتند، به اوج خود رسید.
طبق گزارشها، این پویش بهمنظور تزریق جاوااسکریپت مخرب به وبسایتها و با هدف هدایت بازدیدکنندگان به وبسایتهای مخرب طراحی شده است. محققان دریافتند که طی یک ماه گذشته، بیش از ۲۴هزار آدرس IP مجزا برای حمله به بیش از ۹۰۰هزار وبسایت به کار گرفته شدهاند.
به گفتهی محققان، آسیبپذیریهای هدف جدید نیستند و در حملات قبلی نیز مورد بهرهبرداری قرار گرفتهاند. این آسیبپذیریها شامل اشکالهای اسکریپتنویسی میانوبگاهی در افزونههای Easy2Map (حذفشده از مخزن وردپرس در آگوست ۲۰۱۹ میلادی)، Blog Designer (وصلهشده در سال ۲۰۱۹) و تِم Newspaper (وصلهشده در سال ۲۰۱۶) و اشکالهای گزینههای بهروزرسانی در WP GDPR Compliance (وصلهشده در اواخر سال ۲۰۱۸) و Total Donations (حذفشده در اوایل سال ۲۰۱۹) هستند.
محققان اعلام کردند، کد جاوااسکریپتی که مهاجمان سعی در واردکردن آن به وبسایتهای هدف دارند، در count[.]trackstatisticsss[.]com/stm قرار داشته و بررسی میکند که آیا قربانی کوکیهای ورودی وردپرس را تنظیم کرده است یا خیر. مهاجمان امیدوارند که این اسکریپت در مرورگر مدیر اجرا شود. مدیرانی که وارد وبسایت نشده و در صفحهی ورود به سیستم نیستند، به یک وبسایت مخرب هدایت میشوند. در غیر این صورت، اسکریپت سعی میکند یک درب پشتی مخرب PHP را به هدر تِم فعلی و نیز، جاوااسکریپت مخرب دوم را تزریق کند.
این درب پشتی یک باردادهی دیگر را از https://stat[.]trackstatisticsss[.]com/n.txt دانلود کرده و تلاش میکند تا با درجکردن آن در هدر تِم، آن را اجرا کند. این روش به مهاجم اجازه میدهد تا کنترل وبسایت را حفظ کند، زیرا میتواند محتویات فایل در https://stat[.]trackstatisticsss[.]com/n.txt را به کد موردنظر خود تغییر دهد. این کد برای تعبیهی یک webshell، ایجاد یک مدیر مخرب و یا حتی، حذف کامل محتوای وبسایت مورد استفاده قرار میگیرد.
باردادهی نهایی مورد استفاده در این حمله بهگونهای طراحی شده است که نوعی از اسکریپت اولیه را به ابتدای هر فایل جاوااسکریپت موجود در وبسایت و همچنین، تمامی فایلهای.htm ، .html و .php با نام «index» ضمیمه میکند. علاوهبراین، این بارداده وبسایت آلوده را هر ۶۴۰۰ ثانیه یکبار بررسی کرده و در صورت لزوم، مجدداً آن را آلوده میکند.
به مدیران وبسایتها توصیه میشود برای اطمینان از امنیت وبسایتهای خود، تمامی افزونهها را بهروز کرده و آن دسته از افزونههایی که از مخزن افزونههای وردپرس حذف شدهاند، را حذف و غیرفعال کنند.