افزونههای وردپرس همچنان مورد حمله هکرها قرار میگیرند که از اعتبارنامههای سرقت شده (از سایر موارد نقض دادهها) برای دسترسی مستقیم به کد افزونه استفاده میکنند. چیزی که این حملات را نگرانکننده میکند این است که این حملات زنجیره تامین میتوانند مخفیانه وارد شوند، زیرا این مصالحه به عنوان افزونههایی با یک بهروزرسانی معمولی به نظر میرسد.
حمله زنجیره تامین
رایجترین آسیبپذیری زمانی است که یک نقص نرمافزاری به مهاجم اجازه میدهد کد مخرب را تزریق کند یا نوع دیگری از حمله را انجام دهد، نقص در کد است. اما حمله زنجیره تامین زمانی اتفاق میافتد که خود نرمافزار یا جزء آن نرمافزار (مانند اسکریپت شخص ثالثی که در نرمافزار استفاده میشود) مستقیماً با کدهای مخرب تغییر میکند. این وضعیتی را ایجاد می کند که خود نرم افزار فایل های مخرب را تحویل می دهد.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) حمله زنجیره تامین (PDF) را تعریف می کند:
حمله زنجیره تامین نرمافزار زمانی رخ میدهد که یک عامل تهدید سایبری به شبکه یک فروشنده نرمافزار نفوذ کند و قبل از اینکه فروشنده آن را برای مشتریان خود بفرستد، از کدهای مخرب برای به خطر انداختن نرمافزار استفاده میکند. سپس نرم افزار در معرض خطر داده ها یا سیستم مشتری را به خطر می اندازد.
نرم افزاری که به تازگی به دست آمده ممکن است از همان ابتدا به خطر بیفتد، یا ممکن است مصالحه از طریق روش های دیگری مانند وصله یا رفع فوری رخ دهد. در این موارد، مصالحه هنوز قبل از ورود وصله یا رفع فوری به شبکه مشتری رخ می دهد. این نوع حملات بر همه کاربران نرمافزار آسیبدیده تأثیر میگذارد و میتواند پیامدهای گستردهای برای دولت، زیرساختهای حیاتی و مشتریان نرمافزار بخش خصوصی داشته باشد.»
برای این حمله خاص به افزونههای وردپرس، مهاجمان از اعتبار رمز عبور سرقت شده برای دسترسی به حسابهای توسعهدهنده که دسترسی مستقیم به کد افزونه دارند استفاده میکنند تا کدهای مخرب را به افزونهها اضافه کنند تا در هر وبسایتی که از در معرض خطر استفاده میکند حسابهای کاربری در سطح مدیر ایجاد کنند. افزونه های وردپرس
امروز Wordfence اعلام کرد که افزونه های اضافی وردپرس به خطر افتاده است. ممکن است به خوبی این مورد باشد که افزونه های بیشتری وجود داشته باشد که در معرض خطر قرار می گیرند یا در معرض خطر قرار می گیرند. بنابراین خوب است بدانید چه اتفاقی می افتد و در مورد محافظت از سایت های تحت کنترل خود فعال باشید.
افزونه های وردپرس بیشتر مورد حمله قرار گرفتند
Wordfence توصیهای صادر کرد مبنی بر اینکه افزونههای بیشتری از جمله یک افزونه پادکست بسیار محبوب به نام پلاگین PowerPress Podcasting توسط Blubrry در معرض خطر قرار گرفتهاند.
اینها افزونه های به خطر افتاده جدید کشف شده توسط Wordfence هستند:
- آمار سلامت سرور WP (wp-server-stats): 1.7.6
نسخه پچ شده: 1.7.8
10000 نصب فعال - Ad Invalid Click Protector (AICP) (ad-invalid-click-protector): 1.2.9
نسخه پچ شده: 1.2.10
بیش از 30000 نصب فعال - پلاگین PowerPress Podcasting توسط Blubrry (powerpress): 11.9.3 – 11.9.4
نسخه پچ شده: 11.9.6
بیش از 40000 نصب فعال - آخرین عفونت – تصاویر بهینه شده سئو (تصاویر بهینه شده): 2.1.2
نسخه پچ شده: 2.1.4
بیش از 10000 نصب فعال - آخرین عفونت – Pods – انواع محتوای سفارشی و فیلدها (غلاف): 3.2.2
نسخه وصله شده: در حال حاضر نیازی به نسخه وصله نشده نیست.
بیش از 100000 نصب فعال - آخرین عفونت – بیست 20 تصویر قبل و بعد (twenty20): 1.6.2، 1.6.3، 1.5.4
نسخه وصله شده: در حال حاضر نیازی به نسخه وصله نشده نیست.
بیش از 20000 نصب فعال
اینها اولین گروه از پلاگین های در معرض خطر هستند:
- جنگ اجتماعی
- ویجت Blaze
- عنصر پیوند Wrapper
- فرم تماس 7 افزونه چند مرحله ای
- به سادگی قلاب ها را نشان دهید
اطلاعات بیشتر در مورد حمله زنجیره تامین افزونه وردپرس در اینجا.
در صورت استفاده از یک پلاگین در معرض خطر چه باید کرد
برخی از افزونه ها برای رفع مشکل به روز شده اند، اما نه همه آنها. صرف نظر از اینکه افزونه آسیبدیده برای حذف کدهای مخرب وصله شده است و رمز عبور توسعهدهنده بهروزرسانی شده است، صاحبان سایت باید پایگاه داده خود را بررسی کنند تا مطمئن شوند که هیچ حساب کاربری سرکشی به وبسایت وردپرس اضافه نشده است.
این حمله حسابهای سرپرست را با نامهای کاربری «Options» یا «PluginAuth» ایجاد میکند، بنابراین این نامهای کاربری هستند که باید مراقب آنها باشید. با این حال، احتمالاً ایده خوبی است که در صورت بروز حمله و استفاده هکرها از حسابهای مدیر مختلف، به دنبال حسابهای کاربری جدید در سطح مدیریت باشید که شناسایی نشده باشند.
صاحبان سایت هایی که از نسخه رایگان Wordfence یا Pro افزونه امنیتی Wordfence WordPress استفاده می کنند، در صورت کشف افزونه در معرض خطر مطلع می شوند. کاربران سطح حرفه ای این افزونه برای شناسایی فوری افزونه های آلوده، امضاهای بدافزار دریافت می کنند.
اعلامیه هشدار رسمی Wordfence در مورد این افزونه های آلوده جدید توصیه می کند:
«اگر هر یک از این افزونهها را نصب کردهاید، باید نصب خود را به خطر بیندازید و فوراً وارد حالت پاسخ به حادثه شوید. توصیه میکنیم حسابهای کاربری مدیریت وردپرس خود را بررسی کنید و هر غیرمجاز را حذف کنید، همراه با اجرای یک اسکن کامل بدافزار با افزونه Wordfence یا Wordfence CLI و حذف هر گونه کد مخرب.
کاربران Wordfence Premium، Care و Response، و همچنین کاربران پرداخت شده Wordfence CLI، دارای امضای بدافزار برای شناسایی این بدافزار هستند. کاربران رایگان Wordfence پس از 30 روز تأخیر در 25 جولای 2024 همان شناسایی را دریافت خواهند کرد. اگر نسخه مخرب یکی از افزونه ها را اجرا می کنید، توسط اسکنر آسیب پذیری Wordfence به شما اطلاع داده می شود که آسیب پذیری در سایت خود دارید و باید افزونه را در صورت وجود به روز رسانی کنید یا در اسرع وقت آن را حذف کنید.”
بیشتر بخوانید:
پلاگین های وردپرس در منبع به خطر افتاده – حمله زنجیره تامین
3 افزونه دیگر در حمله زنجیره تامین WordPress.org به دلیل گذرواژههای توسعهدهنده در معرض خطر آلوده شدند
تصویر ویژه توسط Shutterstock/Moksha Labs