افزایش حملات زنجیره تامین افزونه وردپرس

از

افزونه‌های وردپرس همچنان مورد حمله هکرها قرار می‌گیرند که از اعتبارنامه‌های سرقت شده (از سایر موارد نقض داده‌ها) برای دسترسی مستقیم به کد افزونه استفاده می‌کنند. چیزی که این حملات را نگران‌کننده می‌کند این است که این حملات زنجیره تامین می‌توانند مخفیانه وارد شوند، زیرا این مصالحه به عنوان افزونه‌هایی با یک به‌روزرسانی معمولی به نظر می‌رسد.

حمله زنجیره تامین

رایج‌ترین آسیب‌پذیری زمانی است که یک نقص نرم‌افزاری به مهاجم اجازه می‌دهد کد مخرب را تزریق کند یا نوع دیگری از حمله را انجام دهد، نقص در کد است. اما حمله زنجیره تامین زمانی اتفاق می‌افتد که خود نرم‌افزار یا جزء آن نرم‌افزار (مانند اسکریپت شخص ثالثی که در نرم‌افزار استفاده می‌شود) مستقیماً با کدهای مخرب تغییر می‌کند. این وضعیتی را ایجاد می کند که خود نرم افزار فایل های مخرب را تحویل می دهد.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) حمله زنجیره تامین (PDF) را تعریف می کند:

حمله زنجیره تامین نرم‌افزار زمانی رخ می‌دهد که یک عامل تهدید سایبری به شبکه یک فروشنده نرم‌افزار نفوذ کند و قبل از اینکه فروشنده آن را برای مشتریان خود بفرستد، از کدهای مخرب برای به خطر انداختن نرم‌افزار استفاده می‌کند. سپس نرم افزار در معرض خطر داده ها یا سیستم مشتری را به خطر می اندازد.

نرم افزاری که به تازگی به دست آمده ممکن است از همان ابتدا به خطر بیفتد، یا ممکن است مصالحه از طریق روش های دیگری مانند وصله یا رفع فوری رخ دهد. در این موارد، مصالحه هنوز قبل از ورود وصله یا رفع فوری به شبکه مشتری رخ می دهد. این نوع حملات بر همه کاربران نرم‌افزار آسیب‌دیده تأثیر می‌گذارد و می‌تواند پیامدهای گسترده‌ای برای دولت، زیرساخت‌های حیاتی و مشتریان نرم‌افزار بخش خصوصی داشته باشد.»

برای این حمله خاص به افزونه‌های وردپرس، مهاجمان از اعتبار رمز عبور سرقت شده برای دسترسی به حساب‌های توسعه‌دهنده که دسترسی مستقیم به کد افزونه دارند استفاده می‌کنند تا کدهای مخرب را به افزونه‌ها اضافه کنند تا در هر وب‌سایتی که از در معرض خطر استفاده می‌کند حساب‌های کاربری در سطح مدیر ایجاد کنند. افزونه های وردپرس

امروز Wordfence اعلام کرد که افزونه های اضافی وردپرس به خطر افتاده است. ممکن است به خوبی این مورد باشد که افزونه های بیشتری وجود داشته باشد که در معرض خطر قرار می گیرند یا در معرض خطر قرار می گیرند. بنابراین خوب است بدانید چه اتفاقی می افتد و در مورد محافظت از سایت های تحت کنترل خود فعال باشید.

افزونه های وردپرس بیشتر مورد حمله قرار گرفتند

Wordfence توصیه‌ای صادر کرد مبنی بر اینکه افزونه‌های بیشتری از جمله یک افزونه پادکست بسیار محبوب به نام پلاگین PowerPress Podcasting توسط Blubrry در معرض خطر قرار گرفته‌اند.

اینها افزونه های به خطر افتاده جدید کشف شده توسط Wordfence هستند:

  • آمار سلامت سرور WP (wp-server-stats): 1.7.6
    نسخه پچ شده: 1.7.8
    10000 نصب فعال
  • Ad Invalid Click Protector (AICP) (ad-invalid-click-protector): 1.2.9
    نسخه پچ شده: 1.2.10
    بیش از 30000 نصب فعال
  • پلاگین PowerPress Podcasting توسط Blubrry (powerpress): 11.9.3 – 11.9.4
    نسخه پچ شده: 11.9.6
    بیش از 40000 نصب فعال
  • آخرین عفونت – تصاویر بهینه شده سئو (تصاویر بهینه شده): 2.1.2
    نسخه پچ شده: 2.1.4
    بیش از 10000 نصب فعال
  • آخرین عفونت – Pods – انواع محتوای سفارشی و فیلدها (غلاف): 3.2.2
    نسخه وصله شده: در حال حاضر نیازی به نسخه وصله نشده نیست.
    بیش از 100000 نصب فعال
  • آخرین عفونت – بیست 20 تصویر قبل و بعد (twenty20): 1.6.2، 1.6.3، 1.5.4
    نسخه وصله شده: در حال حاضر نیازی به نسخه وصله نشده نیست.
    بیش از 20000 نصب فعال

اینها اولین گروه از پلاگین های در معرض خطر هستند:

  • جنگ اجتماعی
  • ویجت Blaze
  • عنصر پیوند Wrapper
  • فرم تماس 7 افزونه چند مرحله ای
  • به سادگی قلاب ها را نشان دهید

اطلاعات بیشتر در مورد حمله زنجیره تامین افزونه وردپرس در اینجا.

در صورت استفاده از یک پلاگین در معرض خطر چه باید کرد

برخی از افزونه ها برای رفع مشکل به روز شده اند، اما نه همه آنها. صرف نظر از اینکه افزونه آسیب‌دیده برای حذف کدهای مخرب وصله شده است و رمز عبور توسعه‌دهنده به‌روزرسانی شده است، صاحبان سایت باید پایگاه داده خود را بررسی کنند تا مطمئن شوند که هیچ حساب کاربری سرکشی به وب‌سایت وردپرس اضافه نشده است.

این حمله حساب‌های سرپرست را با نام‌های کاربری «Options» یا «PluginAuth» ایجاد می‌کند، بنابراین این نام‌های کاربری هستند که باید مراقب آنها باشید. با این حال، احتمالاً ایده خوبی است که در صورت بروز حمله و استفاده هکرها از حساب‌های مدیر مختلف، به دنبال حساب‌های کاربری جدید در سطح مدیریت باشید که شناسایی نشده باشند.

صاحبان سایت هایی که از نسخه رایگان Wordfence یا Pro افزونه امنیتی Wordfence WordPress استفاده می کنند، در صورت کشف افزونه در معرض خطر مطلع می شوند. کاربران سطح حرفه ای این افزونه برای شناسایی فوری افزونه های آلوده، امضاهای بدافزار دریافت می کنند.

اعلامیه هشدار رسمی Wordfence در مورد این افزونه های آلوده جدید توصیه می کند:

«اگر هر یک از این افزونه‌ها را نصب کرده‌اید، باید نصب خود را به خطر بیندازید و فوراً وارد حالت پاسخ به حادثه شوید. توصیه می‌کنیم حساب‌های کاربری مدیریت وردپرس خود را بررسی کنید و هر غیرمجاز را حذف کنید، همراه با اجرای یک اسکن کامل بدافزار با افزونه Wordfence یا Wordfence CLI و حذف هر گونه کد مخرب.

کاربران Wordfence Premium، Care و Response، و همچنین کاربران پرداخت شده Wordfence CLI، دارای امضای بدافزار برای شناسایی این بدافزار هستند. کاربران رایگان Wordfence پس از 30 روز تأخیر در 25 جولای 2024 همان شناسایی را دریافت خواهند کرد. اگر نسخه مخرب یکی از افزونه ها را اجرا می کنید، توسط اسکنر آسیب پذیری Wordfence به شما اطلاع داده می شود که آسیب پذیری در سایت خود دارید و باید افزونه را در صورت وجود به روز رسانی کنید یا در اسرع وقت آن را حذف کنید.”

بیشتر بخوانید:

پلاگین های وردپرس در منبع به خطر افتاده – حمله زنجیره تامین

3 افزونه دیگر در حمله زنجیره تامین WordPress.org به دلیل گذرواژه‌های توسعه‌دهنده در معرض خطر آلوده شدند

تصویر ویژه توسط Shutterstock/Moksha Labs

Source link