شرکت امنیتی وردپرس، Defiant، هشدار داد که عاملان تهدید بهطور فعال یک آسیبپذیری موجود در افزونهی Elementor Pro وردپرس را هدف قرار میدهند تا به وبگاهها نفوذ کنند. با وجود اینکه بیش از یک میلیون وبگاه Elementor Pro را نصب کردهاند، اما این افزونه نسخهی پولی افزونهی Elementor رایگان و یک سازندهی صفحه به حالت drag & drop است. تنها Elementor Pro که بهصورت مجزا آمادهی بارگیری است تحت تأثیر این آسیبپذیری قرار گرفته است.
این آسیبپذیری که در نمرهدهی CVSS دارای امتیاز ۹٫۹ است توسط مهاجمان بهمنظور بارگذاری فایلهای دلخواه و اجرای کد از راه دور در وبگاههای آسیبدیده مورد بهرهبرداری قرار میگیرد. هنگامی که این حملات اولین بار در تاریخ ۶ مِی مشاهده شدند، این آسیبپذیری یک آسیبپذیری روز-صفرم بود، زیرا مهاجمان بهطور فعال از این آسیبپذیری بهرهبرداری میکردند و هنوز وصلهای برای کاربران Elementor Pro ارائه نشده بود.
Defiant تشریح میکند که مهاجمی که قادر باشد بهصورت از راه دور کد را در وبگاه کاربر اجرا کند، میتواند یک درب پشتی یا webshell را برای حفظ دسترسی خود نصب کند، به دسترسی کامل مدیر به وردپرس دست یابد و یا حتی کل وبگاه را حذف کند.
Elementor در ۷ مِه وصلهای برای این آسیبپذیری منتشر کرد. نسخهی ۲٫۹٫۴ افزونهی Elementor Pro این مسأله را رفع کرده است و به کاربران توصیه میشود که بلافاصله افزونهی خود را بهروزرسانی کنند.
در حملات مشاهدهشده، عامل تهدید بهطور مستقیم این آسیبپذیری را در وبگاههایی با ثبتنام کاربر آزاد هدف قرار میدهد. درصورتیکه وبگاه ثبتنام کاربر را فعال نکند، مهاجمان تلاش میکنند تا از یک آسیبپذیری بهرهبرداری کنند که بهتازگی در Ultimate Addons مربوط به افزونهی Elementor وصله شده است و به آنها اجازه میدهد تا ثبتنام را دور بزنند و حسابهای اشتراکی ایجاد کنند.
در مرحلهی بعد، مهاجمان با استفاده از حسابهای جدید از آسیبپذیری Elementor Pro برای اجرای کد از راه دور بهرهبرداری میکنند. Ultimate Addons مربوط به افزونهی Elementor نسخهی ۱٫۲۴٫۲ آسیبپذیری دور زدن ثبتنام را رفع میکند و به کاربران توصیه میشود تا هر چه سریعتر بهروزرسانی کنند، بهخصوص درصورتیکه از این افزونه در کنار Elementor Pro استفاده کنند.
به مدیران توصیه میشود تا وبگاههای خود را برای هر کاربر ناشناس در سطح مشترک بررسی کنند و فایلهایی با نام wp-xmlrpc.php را که بهعنوان یک شاخص نفوذ در نظر گرفته میشود، در بین فایلهای نصبی خود جستجو کنند. علاوهبرآن، Defiant توصیه میکند هر گونه فایل یا پوشهی ناشناس موجود در مسیر /wp-content/uploads/elementor/custom-icons حذف شود، زیرا آنها شاخص روشنی از نفوذ هستند، بهخصوص درصورتیکه یک حساب مشترک جعلی ایجاد شده باشد.