پلاگین های وردپرس در منبع به خطر افتاده است

WordPress.org و Wordfence هشدارهایی در مورد اضافه کردن کدهای مخرب به پلاگین ها توسط هکرها در منبع منتشر کرده اند که منجر به عفونت های گسترده از طریق به روز رسانی ها می شود.

پنج پلاگین به خطر افتاده … تا به امروز

معمولاً آنچه اتفاق می‌افتد این است که یک افزونه دارای یک نقطه ضعف (آسیب‌پذیری) است که به مهاجم اجازه می‌دهد تا سایت‌هایی را که از آن نسخه از یک افزونه استفاده می‌کنند به خطر بیاندازد. اما این سازش‌ها متفاوت هستند زیرا خود افزونه‌ها دارای آسیب‌پذیری نیستند. مهاجمان به طور مستقیم کدهای مخرب را مستقیماً در منبع افزونه تزریق می کنند و به روز رسانی را مجبور می کنند که سپس به تمام سایت هایی که از افزونه استفاده می کنند پخش می شود.

Wordfence ابتدا متوجه یک افزونه شد که حاوی کدهای مخرب بود. هنگامی که آنها جزئیات را در پایگاه داده خود آپلود کردند، سپس چهار افزونه دیگر را کشف کردند که با نوع مشابهی از کد مخرب در معرض خطر قرار گرفتند. Wordfence بلافاصله وردپرس را در مورد یافته های خود مطلع کرد.

Wordfence جزئیات افزونه های آسیب دیده را به اشتراک گذاشته است:

«جنگ اجتماعی 4.4.6.4 – 4.4.7.1
نسخه پچ شده: 4.4.7.3

Blaze Widget 2.2.5 – 2.5.2
نسخه پچ شده: ندارد

Wrapper Link Element 1.0.2 – 1.0.3
نسخه وصله شده: به نظر می رسد که شخصی کد مخرب را حذف کرده است، اما آخرین نسخه با برچسب 1.0.0 پایین تر از نسخه های آلوده است. این بدان معنی است که ممکن است به روز رسانی به آخرین نسخه دشوار باشد، بنابراین توصیه می کنیم تا زمانی که یک نسخه دارای برچسب مناسب منتشر شود، افزونه را حذف کنید.

فرم تماس 7 افزونه چند مرحله ای 1.0.4 – 1.0.5
نسخه پچ شده: ندارد

Simply Show Hooks 1.2.1
نسخه پچ شده هیچ»

وردپرس تمام پنج پلاگین را مستقیماً در مخزن رسمی افزونه ها خاموش کرد و در هر یک از صفحات افزونه اعلان بسته بودن و در دسترس نبودن آنها را منتشر کرد.

اسکرین شات از یک افزونه وردپرس حذف شده

افزونه‌های آلوده، حساب‌های مدیریت سرکش را ایجاد می‌کنند که به سرور منتقل می‌شوند. وب سایت های مورد حمله با لینک های اسپم SEO که به فوتر اضافه می شوند تغییر می کنند. به سختی می توان بدافزار پیچیده را دستگیر کرد زیرا هکرها به طور فعال سعی می کنند کد خود را پنهان کنند، به عنوان مثال، کد مانند رشته ای از اعداد به نظر می رسد، کد مخرب مبهم می شود. Wordfence اشاره کرد که این بدافزار خاص پیچیده نیست و به راحتی قابل شناسایی و ردیابی است.

Wordfence در مورد این کیفیت عجیب بدافزار مشاهده کرد:

“کد مخرب تزریق شده خیلی پیچیده یا به شدت مبهم نیست و حاوی نظراتی است که دنبال کردن آن را آسان می کند. به نظر می‌رسد اولین تزریق به 21 ژوئن 2024 برمی‌گردد و عامل تهدید همچنان به‌روزرسانی‌های فعالانه برای پلاگین‌ها را تا 5 ساعت پیش انجام می‌داد.

مشاوره مشکلات وردپرس در مورد پلاگین های در معرض خطر

توصیه وردپرس بیان می‌کند که مهاجمان توسعه‌دهندگان افزونه‌هایی را شناسایی می‌کنند که «دسترسی committer» دارند (به این معنی که می‌توانند کد را به افزونه متعهد کنند) و سپس در مرحله بعدی از اعتبارنامه‌های سایر نقض‌های داده استفاده کردند که با آن توسعه‌دهندگان مطابقت دارد. هکرها از این اعتبار برای دسترسی مستقیم به افزونه در سطح کد و تزریق کد مخرب خود استفاده می کنند.

وردپرس توضیح داد:

«در 23 و 24 ژوئن 2024، پنج حساب کاربری WordPress.org توسط مهاجمی که سعی می‌کرد ترکیب نام کاربری و رمز عبور را که قبلاً در نقض داده‌ها در سایر وب‌سایت‌ها به خطر افتاده بود، در معرض خطر قرار گیرد. مهاجم از دسترسی به این 5 حساب برای صدور به‌روزرسانی‌های مخرب برای 5 افزونه که کاربران به committer دسترسی داشتند، استفاده کرد.

…افزونه‌های آسیب‌دیده دارای به‌روزرسانی‌های امنیتی هستند که توسط تیم Plugins برای محافظت از امنیت کاربر صادر شده است.

تقصیر این مصالحه ها ظاهراً مربوط به اقدامات امنیتی توسعه دهنده افزونه است. اعلامیه رسمی وردپرس به توسعه دهندگان افزونه بهترین روش هایی را یادآوری می کند که باید از آنها برای جلوگیری از وقوع این نوع سازش ها استفاده کنند.

چگونه بفهمیم سایت شما در معرض خطر است؟

در این مرحله از زمان تنها پنج افزونه شناخته شده است که با این کد مخرب خاص در خطر هستند. Wordfence گفت که هکرها ادمین هایی را با نام های کاربری “Options” یا “PluginAuth” ایجاد می کنند، بنابراین یکی از راه های بررسی مجدد اینکه آیا سایت به خطر افتاده است، ممکن است جستجوی هر حساب کاربری جدید مدیر، به ویژه حساب هایی با آن نام کاربری باشد.

Wordfence به سایت‌های آسیب‌دیده که از هر یک از پنج افزونه استفاده می‌کنند، توصیه می‌کند تا حساب‌های کاربری سطح مدیر سرکش را حذف کنند و با افزونه Wordfence اسکن بدافزار را اجرا کنند و کد مخرب را حذف کنند.

شخصی در نظرات پرسید که آیا باید نگران باشند حتی اگر از هیچ یک از پنج افزونه استفاده نمی کنند؟

«به نظر شما باید نگران سایر به‌روزرسانی‌های افزونه باشیم؟ یا این محدود به این 5 افزونه بود.»

کلویی چمبرلند، رهبر اطلاعات تهدید در Wordfence پاسخ داد:

“سلام الیزابت، در این مرحله به نظر می رسد که فقط به آن 5 افزونه ایزوله شده است، بنابراین من زیاد نگران به روز رسانی های افزونه دیگر نباشم. با این حال، به دلیل احتیاط بیشتر، توصیه می‌کنم قبل از به‌روزرسانی آن‌ها در هر سایتی که اجرا می‌کنید، مجموعه تغییرات هر به‌روزرسانی افزونه را بررسی کنید تا مطمئن شوید هیچ کد مخربی وجود ندارد.»

دو نظردهنده دیگر خاطرنشان کردند که حداقل یکی از حساب‌های ادمین سرکش را در سایت‌هایی دارند که از هیچ یک از پنج افزونه شناخته شده آسیب‌دیده استفاده نمی‌کنند. در حال حاضر مشخص نیست که آیا افزونه های دیگری تحت تأثیر قرار گرفته اند یا خیر.

توصیه و توضیح Wordfence را در مورد آنچه در جریان است بخوانید:

حمله زنجیره تامین به افزونه های WordPress.org منجر به 5 پلاگین وردپرس که به طور مخرب در معرض خطر قرار گرفته اند

اطلاعیه رسمی WordPress.org را بخوانید:

ایمن نگه داشتن حساب های کامیتر پلاگین خود

تصویر ویژه توسط Shutterstock/Algonga