بهره‌برداری از آسیب‌پذیری‌های افزونه‌ی Elementor برای نفوذ به وب‌گاه‌های وردپرس

شرکت امنیتی وردپرس، Defiant، هشدار داد که عاملان تهدید به‌طور فعال یک آسیب‌پذیری موجود در افزونه‌ی Elementor Pro وردپرس را هدف قرار می‌دهند تا به وب‌گاه‌ها نفوذ کنند. با وجود این‌که بیش از یک میلیون وب‌گاه Elementor Pro را نصب کرده‌اند، اما این افزونه نسخه‌ی پولی افزونه‌ی Elementor رایگان و یک سازنده‌ی صفحه به حالت drag & drop است. تنها Elementor Pro که به‌صورت مجزا آماده‌ی بارگیری است تحت تأثیر این آسیب‌پذیری قرار گرفته است.

این آسیب‌پذیری که در نمره‌دهی CVSS دارای امتیاز ۹٫۹ است توسط مهاجمان به‌منظور بارگذاری فایل‌های دلخواه و اجرای کد از راه دور در وب‌گاه‌های آسیب‌دیده مورد بهره‌برداری قرار می‌گیرد. هنگامی که این حملات اولین بار در تاریخ ۶ مِی مشاهده شدند، این آسیب‌پذیری یک آسیب‌پذیری روز-صفرم بود، زیرا مهاجمان به‌طور فعال از این آسیب‌پذیری بهره‌برداری می‌کردند و هنوز وصله‌ای برای کاربران Elementor Pro ارائه نشده بود.

Defiant تشریح می‌کند که مهاجمی که قادر باشد به‌صورت از راه دور کد را در وب‌گاه کاربر اجرا کند، می‌تواند یک درب پشتی یا webshell را برای حفظ دسترسی خود نصب کند، به دسترسی کامل مدیر به وردپرس دست یابد و یا حتی کل وب‌گاه را حذف کند.

Elementor در ۷ مِه وصله‌ای برای این آسیب‌پذیری منتشر کرد. نسخه‌ی ۲٫۹٫۴ افزونه‌ی Elementor Pro این مسأله را رفع کرده است و به کاربران توصیه می‌شود که بلافاصله افزونه‌ی خود را به‌روزرسانی کنند.

در حملات مشاهده‌شده، عامل تهدید به‌طور مستقیم این آسیب‌پذیری را در وب‌گاه‌هایی با ثبت‌نام کاربر آزاد هدف قرار می‌دهد. درصورتی‌که وب‌گاه ثبت‌نام کاربر را فعال نکند، مهاجمان تلاش می‌کنند تا از یک آسیب‌پذیری بهره‌برداری کنند که به‌تازگی در Ultimate Addons مربوط به افزونه‌ی Elementor وصله شده است و به آن‌ها اجازه می‌دهد تا ثبت‌نام را دور بزنند و حساب‌های اشتراکی ایجاد کنند.

در مرحله‌ی بعد، مهاجمان با استفاده از حساب‌های جدید از آسیب‌پذیری  Elementor Pro برای اجرای کد از راه دور بهره‌برداری می‌کنند. Ultimate Addons مربوط به افزونه‌ی Elementor نسخه‌ی ۱٫۲۴٫۲ آسیب‌پذیری دور زدن ثبت‌نام را رفع می‌کند و به کاربران توصیه می‌شود تا هر چه سریع‌تر به‌روزرسانی کنند، به‌خصوص درصورتی‌که از این افزونه در کنار Elementor Pro استفاده کنند.

به مدیران توصیه می‌شود تا وب‌گاه‌های خود را برای هر کاربر ناشناس در سطح مشترک بررسی کنند و فایل‌هایی با نام wp-xmlrpc.php را که به‌عنوان یک شاخص نفوذ در نظر گرفته می‌شود، در بین فایل‌های نصبی خود جستجو کنند. علاوه‌برآن، Defiant توصیه می‌کند هر گونه فایل یا پوشه‌ی ناشناس موجود در مسیر /wp-content/uploads/elementor/custom-icons حذف شود، زیرا آن‌ها شاخص روشنی از نفوذ هستند، به‌خصوص درصورتی‌که یک حساب مشترک جعلی ایجاد شده باشد.

منبع

پست‌های مشابه

Leave a Comment