يستغل المهاجمون بشكل نشط ثغرة أمنية خطيرة في BackupBuddy، وهو مكون إضافي لبرنامج WordPress يستخدمه ما يقدر بنحو 140,000 موقع ويب لإجراء نسخ احتياطي لعمليات التثبيت الخاصة بهم.
تسمح الثغرة الأمنية للمهاجمين بقراءة وتنزيل الملفات العشوائية من مواقع الويب المتأثرة، بما في ذلك تلك التي تحتوي على معلومات التكوين والبيانات الحساسة مثل كلمات المرور التي يمكن استخدامها لمزيد من التسوية.
أبلغ مورد أمان WordPress Wordfence عن ملاحظة هجمات تستهدف الخلل بدءًا من 26 أغسطس، وقال إنه فعل ذلك منعت ما يقرب من 5 ملايين الهجمات منذ ذلك الحين. أصدر مطور البرنامج الإضافي، iThemes، تصحيحًا للخلل في 2 سبتمبر، بعد أكثر من أسبوع من بدء الهجمات. وهذا يثير احتمال أن تكون بعض مواقع WordPress التي تستخدم البرنامج على الأقل قد تم اختراقها قبل أن يصبح الإصلاح متاحًا للثغرة الأمنية.
خطأ اجتياز الدليل
وفي بيان على موقعها على الإنترنت، وصفت iThemes ثغرة اجتياز الدليل بأنها تؤثر على مواقع الويب قيد التشغيل إصدارات BackupBuddy من 8.5.8.0 إلى 8.7.4.1. وحثت مستخدمي المكون الإضافي على التحديث الفوري إلى الإصدار 8.75 من BackupBuddy، حتى لو كانوا لا يستخدمون حاليًا إصدارًا ضعيفًا من المكون الإضافي.
حذر صانع المكونات الإضافية من أن "هذه الثغرة الأمنية قد تسمح للمهاجم بعرض محتويات أي ملف على الخادم الخاص بك والذي يمكن قراءته من خلال تثبيت WordPress الخاص بك".
قدمت تنبيهات iThemes إرشادات حول كيفية تحديد مشغلي الموقع ما إذا كان موقع الويب الخاص بهم قد تم اختراقه والخطوات التي يمكنهم اتخاذها لاستعادة الأمان. وتضمنت هذه الإجراءات إعادة تعيين كلمة مرور قاعدة البيانات وتغيير بياناتها أملاح ووردبريسوتدوير مفاتيح API والأسرار الأخرى في ملف تكوين الموقع الخاص بهم.
وقالت Wordfence إنها شاهدت مهاجمين يستخدمون الثغرة لمحاولة استرداد "الملفات الحساسة مثل ملف /wp-config.php و/etc/passwd والتي يمكن استخدامها لاختراق الضحية بشكل أكبر".
أمان المكونات الإضافية في WordPress: مشكلة مستوطنة
يُعد ثغرة BackupBuddy مجرد واحدة من آلاف العيوب التي تم الكشف عنها في بيئات WordPress - وجميعها تقريبًا تتضمن مكونات إضافية - في السنوات الأخيرة.
وفي تقرير صدر في وقت سابق من هذا العام، قالت iThemes إنها حددت ذلك تم الكشف عن ما مجموعه 1,628 نقطة ضعف في WordPress في عام 2021 - وأثر أكثر من 97% منها على المكونات الإضافية. تم تصنيف ما يقرب من النصف (47.1٪) على أنها ذات خطورة عالية إلى حرجة. ومما يثير القلق، 23.2% من المكونات الإضافية الضعيفة ليس لها حل معروف.
أظهر فحص سريع لقاعدة بيانات الثغرات الوطنية (NVD) بواسطة Dark Reading أنه تم الكشف عن عشرات الثغرات الأمنية التي تؤثر على مواقع WordPress حتى الآن في الأسبوع الأول من شهر سبتمبر وحده.
المكونات الإضافية الضعيفة ليست مصدر القلق الوحيد لمواقع WordPress؛ تعتبر المكونات الإضافية الضارة مشكلة أخرى. كشفت دراسة واسعة النطاق أجريت على أكثر من 400,000 ألف موقع إلكتروني أجراها باحثون في معهد جورجيا للتكنولوجيا عن مشكلة مذهل 47,337 المكونات الإضافية الضارة تم تثبيته على 24,931 موقعًا إلكترونيًا، ولا يزال معظمها نشطًا.
يقول سونيل يو، كبير مسؤولي أمن المعلومات في JupiterOne، إن المخاطر الكامنة في بيئات WordPress تشبه تلك الموجودة في أي بيئة تستفيد من المكونات الإضافية وعمليات التكامل وتطبيقات الطرف الثالث لتوسيع الوظائف.
"كما هو الحال مع الهواتف الذكية، تعمل مكونات الطرف الثالث هذه على توسيع قدرات المنتج الأساسي، ولكنها تمثل أيضًا مشكلة بالنسبة لفرق الأمان لأنها تزيد بشكل كبير من سطح الهجوم للمنتج الأساسي"، مضيفًا أن فحص هذه المنتجات يمثل أيضًا تحديًا بسبب عددها الهائل وعدم وجود مصدر واضح.
ويشير يو إلى أن "فرق الأمن تتبع أساليب بدائية، وغالبًا ما تعطي نظرة خاطفة على ما أسميه العناصر الثلاثة: الشعبية والغرض والأذونات". ويشير إلى أنه "على غرار متاجر التطبيقات التي تديرها أبل وجوجل، يجب إجراء المزيد من التدقيق من قبل الأسواق للتأكد من أن المكونات الإضافية وعمليات التكامل وتطبيقات الطرف الثالث الضارة لا تسبب مشاكل لعملائها".
مشكلة أخرى هي أنه في حين يستخدم ووردبريس على نطاق واسع، غالبًا ما تتم إدارتها بواسطة متخصصين في التسويق أو تصميم الويب وليس متخصصين في تكنولوجيا المعلومات أو الأمان، كما يقول Bud Broomhead، الرئيس التنفيذي لشركة Viakoo.
يقول Broomhead لـ Dark Reading: "التثبيت سهل والإزالة هي فكرة لاحقة أو لم يتم القيام بها أبدًا". "تمامًا كما تحول سطح الهجوم إلى إنترنت الأشياء/OT/ICS، تستهدف الجهات الفاعلة في مجال التهديد الأنظمة التي لا تديرها تكنولوجيا المعلومات، وخاصة تلك التي يتم استخدامها على نطاق واسع مثل WordPress."
ويضيف برومهيد: "حتى مع قيام WordPress بإصدار تنبيهات حول كون المكونات الإضافية عبارة عن نقاط ضعف، فإن الأولويات الأخرى غير الأمان قد تؤخر إزالة المكونات الإضافية الضارة."
