تم استغلال نقاط الضعف الحرجة في مكونات WordPress الإضافية في البرية

منوعاتDec 19, 2021

ربما سمحت الأخطاء الموجودة في WordPress للمتسللين بالحصول على حقوق المسؤول وتنظيف البيانات من مواقع الويب المعرضة للخطر

يسمح علة في ووردبريس للمهاجم عن بعد على المواقعيمكن إنشاء حسابات جديدة ذات حقوق إدارية واستخدامها للاستيلاء الكامل على موقع الويب. استغل المتسللون بنشاط الأخطاء الحرجة في مكونات WordPress الإضافية التي سمحت لهم بالتحكم في محتوى مواقع الويب تمامًا وحتى إزالتها. تم اكتشاف ثغرة يوم الصفر في المكون الإضافي ThemeREX Addons WordPress.[1] الخلل ، عند استغلاله ، يسمح للمهاجمين بإنشاء حسابات بامتيازات إدارية ، بحيث يمكن الاستيلاء على مواقع الويب.

يتم تثبيت المكون الإضافي الخاص على 44000 موقع على الأقل ، وفقًا لشركة أمان Wordfence ، لذا فإن هذه المواقع كلها معرضة للخطر.[2] يوفر المكون الإضافي 466 سمة وقوالب WordPress تجارية للبيع ، حتى يتمكن العملاء من تكوين السمات وإدارتها بشكل أسهل.

يعمل المكون الإضافي عن طريق إعداد نقطة نهاية WordPress REST-API ، ولكن دون التحقق مما إذا كانت الأوامر المرسلة إلى REST API تأتي من مالك الموقع أو مستخدم مصرح له أم لا. هذه هي الطريقة التي يمكن بها تنفيذ التعليمات البرمجية عن بُعد من قبل أي زائر غير مصادق.[3]

تم العثور على خطأ آخر يتعلق بموضوعات WordPress في المكونات الإضافية بواسطة ThemeGrill التي تبيع سمات مواقع الويب إلى أكثر من 200000 موقع. سمح الخلل للمهاجمين بإرسال حمولة معينة إلى تلك المواقع المعرضة للخطر وتشغيل الوظائف المطلوبة بعد الحصول على حقوق المسؤول.[4]

مخطط ثيمات WordPress التي تم تحويلها إلى طروادة والتي أدت إلى اختراق الخوادم

وفقًا للتحليل ، سمحت هذه العيوب بضرب ما لا يقل عن 20000 خادم ويب في جميع أنحاء العالم. من المحتمل أن يكون قد أدى إلى تثبيتات برامج ضارة ، وعرض إعلانات ضارة. ينتمي أكثر من خُمس هذه الخوادم إلى الشركات المتوسطة الحجم التي لديها تمويل أقل المزيد من مواقع الويب المخصصة ، على عكس الشركات الكبرى ، لذا فإن مثل هذه الحوادث الأمنية تكون أيضًا أكثر أهمية في تلف.

ربما بدأت الاستفادة من نظام إدارة المحتوى المستخدم على نطاق واسع في عام 2017. يمكن للقراصنة أن يحققوا أهدافهم ويخوضون عن غير قصد مواقع الويب المختلفة بسبب افتقار الضحايا للوعي الأمني. بالإضافة إلى المكونات الإضافية الضعيفة المذكورة والعيوب الأخرى ، تم اكتشاف 30 موقعًا تقدم سمات WordPress والمكونات الإضافية.[5]

تم تثبيت حزم طروادة ، ويقوم المستخدمون بنشر ملفات ضارة دون معرفة أن مثل هذا السلوك يسمح للمهاجمين بالسيطرة الكاملة على خادم الويب. من هناك ، من السهل إضافة حسابات المسؤول ، واستعادة خوادم الويب ، وحتى الوصول إلى موارد الشركة.

بالإضافة إلى ذلك ، يمكن للبرامج الضارة المضمنة في مثل هذه الهجمات:

  • التواصل مع خوادم القيادة والسيطرة المملوكة للقراصنة ؛
  • تنزيل الملفات من الخادم ؛
  • إضافة ملفات تعريف الارتباط لجمع بيانات الزائر المختلفة ؛
  • جمع معلومات حول الجهاز المصاب.

أيضًا ، يمكن للمجرمين المتورطين في مثل هذه المخططات استخدام الكلمات الرئيسية والإعلانات الضارة وغيرها من الأساليب:

في العديد من الحالات ، كانت الإعلانات حميدة تمامًا وستوجه المستخدم النهائي إلى خدمة أو موقع ويب شرعي. ومع ذلك ، في حالات أخرى ، لاحظنا وجود إعلانات منبثقة تحث المستخدم على تنزيل برامج يحتمل أن تكون غير مرغوب فيها.

يعد WordPress أكثر أنظمة إدارة المحتوى شيوعًا في العالم

تشير التقارير الأخيرة إلى أن استخدام نظام إدارة المحتوى لم يعد اختياريًا وفي تزايد. خاصة لشركات المؤسسات والتطبيقات بدون رأس والتي تتحكم في المحتوى المنفصل عن طبقة العرض الأولية أو تجربة المستخدم الأمامية.[6] يظهر البحث أنه بالمقارنة مع أنظمة إدارة المحتوى الأخرى ، فقد زاد استخدام WordPress.

أيضًا ، من الواضح أن المؤسسات تستفيد من استخدام أكثر من نظام إدارة محتوى في وقت واحد ، وبالتالي تصبح هذه الممارسة أكثر شيوعًا. يعد هذا مفيدًا بشكل استثنائي عندما يتعلق الأمر بمثل هذه المشكلات المتعلقة بنقاط الضعف والأخطاء أو المشكلات المختلفة المتعلقة بالخدمات وخصوصية وأمان موقع الويب الخاص بك والبيانات الحساسة.

الخطوات الممكنة

ينصح الباحثون المنظمات والمسؤولين بما يلي:

  • تجنب استخدام البرامج المقرصنة ؛
  • تمكين وتحديث Windows Defender أو حلول AV مختلفة ؛
  • الابتعاد عن إعادة استخدام كلمات المرور عبر الحسابات ؛
  • تحديث نظام التشغيل بانتظام
  • الاعتماد على التصحيحات المتوفرة لبعض هذه الثغرات الأمنية والتحديثات لمكونات إضافية معينة.