مهاجمان به طور فعال از یک آسیبپذیری حیاتی در BackupBuddy، یک افزونه وردپرس، استفاده میکنند که تخمین زده میشود 140,000 وبسایت از آن برای پشتیبانگیری از نصبهای خود استفاده میکنند.
این آسیبپذیری به مهاجمان اجازه میدهد فایلهای دلخواه را از وبسایتهای آسیبدیده، از جمله آنهایی که حاوی اطلاعات پیکربندی و دادههای حساسی مانند رمزهای عبور هستند، بخوانند و دانلود کنند.
فروشنده امنیت وردپرس Wordfence گزارش داده است که حملاتی را مشاهده کرده است که این نقص را در 26 آگوست هدف قرار می دهد و گفت که این نقص را هدف قرار داده است. نزدیک به 5 میلیون حمله را مسدود کرد از آن به بعد. توسعهدهنده این افزونه، iThemes، یک وصله برای این نقص در 2 سپتامبر، بیش از یک هفته پس از شروع حملات منتشر کرد. این احتمال را افزایش میدهد که حداقل برخی از سایتهای وردپرسی که از این نرمافزار استفاده میکنند، قبل از اینکه راه حلی برای این آسیبپذیری در دسترس باشد، در معرض خطر قرار گرفتهاند.
یک اشکال پیمایش دایرکتوری
iThemes در بیانیهای در وبسایت خود، آسیبپذیری پیمایش دایرکتوری را به عنوان تأثیرگذاری بر وبسایتهای در حال اجرا توصیف کرد نسخه BackupBuddy 8.5.8.0 تا 8.7.4.1. این افزونه از کاربران این افزونه خواست که فوراً به نسخه 8.75 BackupBuddy بهروزرسانی شوند، حتی اگر در حال حاضر از نسخه آسیبپذیر افزونه استفاده نمیکنند.
سازنده افزونه هشدار داد: «این آسیبپذیری میتواند به مهاجم اجازه دهد محتویات هر فایلی را روی سرور شما که میتواند توسط نصب وردپرس شما خوانده شود، مشاهده کند.
هشدارهای iThemes راهنمایی هایی را در مورد اینکه چگونه اپراتورهای سایت می توانند تشخیص دهند که آیا وب سایت آنها به خطر افتاده است و اقداماتی که می توانند برای بازگرداندن امنیت انجام دهند، ارائه می دهد. این اقدامات شامل بازنشانی رمز عبور پایگاه داده، تغییر آنها بود نمک های وردپرسو چرخش کلیدهای API و سایر اسرار در فایل پیکربندی سایت آنها.
Wordfence گفت که مشاهده کرده است که مهاجمان از این نقص برای بازیابی "فایل های حساس مانند فایل /wp-config.php و /etc/passwd استفاده می کنند که می تواند برای به خطر انداختن بیشتر قربانی استفاده شود."
امنیت افزونه وردپرس: یک مشکل بومی
نقص BackupBuddy تنها یکی از هزاران نقصی است که در سالهای اخیر در محیطهای وردپرس فاش شده است - تقریباً همه آنها شامل افزونهها هستند.
در گزارشی در اوایل سال جاری، iThemes اعلام کرد که شناسایی شده است در مجموع 1,628 آسیب پذیری وردپرس فاش شده است در سال 2021 - و بیش از 97٪ از آنها بر افزونه ها تأثیر گذاشتند. نزدیک به نیمی (47.1٪) به عنوان شدت بالا تا بحرانی رتبه بندی شدند. و به طرز نگران کننده ای، 23.2 درصد از افزونه های آسیب پذیر هیچ راه حل شناخته شده ای نداشتند.
اسکن سریع پایگاه داده آسیبپذیری ملی (NVD) توسط Dark Reading نشان داد که دهها آسیبپذیری مؤثر بر سایتهای وردپرس تا کنون تنها در هفته اول سپتامبر فاش شده است.
پلاگین های آسیب پذیر تنها نگرانی سایت های وردپرس نیستند. افزونه های مخرب یکی دیگر از مشکلات هستند. یک مطالعه در مقیاس بزرگ روی بیش از 400,000 وب سایت که محققان موسسه فناوری جورجیا انجام دادند، نشان داد خیره کننده 47,337 افزونه مخرب بر روی 24,931 وب سایت نصب شده است که اکثر آنها هنوز فعال هستند.
Sounil Yu، CISO در JupiterOne، میگوید که خطرات ذاتی در محیطهای وردپرس مانند خطرات موجود در هر محیطی است که از پلاگینها، ادغامها و برنامههای شخص ثالث برای گسترش عملکرد استفاده میکند.
او توضیح میدهد: «همانند گوشیهای هوشمند، چنین مولفههای شخص ثالث قابلیتهای محصول اصلی را گسترش میدهند، اما برای تیمهای امنیتی نیز مشکلساز هستند، زیرا سطح حمله محصول اصلی را بهطور قابلتوجهی افزایش میدهند.» و افزود که بررسی این محصولات نیز چالش برانگیز است. به دلیل تعداد زیاد آنها و عدم منشأ روشن.
یو خاطرنشان می کند: «تیم های امنیتی رویکردهای ابتدایی دارند، اغلب نگاهی گذرا به آنچه من سه P می نامم: محبوبیت، هدف، و مجوزها را ارائه می دهند. او خاطرنشان میکند: «مانند فروشگاههای اپلیکیشن که توسط اپل و گوگل مدیریت میشوند، بررسیهای بیشتری باید توسط بازارها انجام شود تا اطمینان حاصل شود که [افزونهها، ادغامها و برنامههای شخص ثالث] مخرب برای مشتریانشان مشکل ایجاد نمیکنند.»
مشکل دیگر این است که در حالی که وردپرس به طور گسترده استفاده می شودباد برومهد، مدیر عامل Viakoo می گوید، اغلب توسط متخصصان بازاریابی یا طراحی وب مدیریت می شود و نه متخصصان فناوری اطلاعات یا امنیت.
برومهد به دارک ریدینگ می گوید: «نصب آسان است و حذف آن یک فکر بعدی است یا هرگز انجام نشده است. همانطور که سطح حمله به IoT/OT/ICS تغییر کرده است، هدف عوامل تهدید سیستمهایی است که توسط فناوری اطلاعات مدیریت نمیشوند، به ویژه سیستمهایی که به طور گسترده مانند WordPress استفاده میشوند.
Broomhead می افزاید: «حتی با صدور هشدارهای وردپرس در مورد آسیب پذیری افزونه ها، اولویت های دیگری غیر از امنیت ممکن است حذف افزونه های مخرب را به تاخیر بیندازند.»