نقص وصله نشده در WordPress: در اختیار گرفتن کنترل کامل سایت شما توسط مهاجمان

هفته گذشته یک آسیب‌پذیری وصله نشده در هسته WordPress گزارش شد که می‌توانست به یک کاربر دارای سطح اختیارات پایین اجازه دهد تا یک سایت را سرقت کرده و کد دلخواه خود را بر روی سرور اجرا کند.

این آسیب‌پذیری تأیید اعتبار تشخیص فایل دلخواه^(۱) توسط محققان در RIPS Technologies GmbH کشف‌شده و ۷ ماه پیش به تیم امنیتی WordPress گزارش شده بود[۱] اما همچنان وصله نشده و بر روی تمامی نسخه‌های WordPress شامل نسخه ۴٫۹٫۶ نیز تأثیرگذار است.

این آسیب‌پذیری بر روی یکی از توابع هسته از WordPress هنگامی‌که یک کاربر برای همیشه thumbnail یک عکس بارگذاری شده را پاک می‌کند در پشت‌صحنه اجرا می‌شود.

محققان دریافتند که تابع حذف تصویر thumbnail، ورودی کاربر غیرانتخابی^(۲) را پذیرفته است، که اگر در معرض آن قرار گیرد، می‌تواند به کاربران با دسترسی محدود از حداقل یک نویسنده اجازه دهد هر فایلی را از میزبان وب حذف کند، که در غیر این صورت فقط باید به مدیران سرور یا سایت اجازه این کار داده شود.

الزام به حداقل یک حساب کاربری به‌طور خودکار شدت این ضعف را تا حدودی کاهش می‌دهد، که می‌تواند توسط یک مشارکت‌کننده محتوای سرکش^(۳) یا هکری که به‌نوعی اطلاعات حساس کاربر را با استفاده از فیشینگ، استفاده مجدد از کلمه عبور یا دیگر حملات در اختیار دارد، مورد بهره‌برداری قرار ‌گیرد.

محققان می‌گویند که با استفاده از این نقص، مهاجم می‌تواند در تلاش برای غیرفعال کردن سیستم حفاظتی هرگونه فایل حیاتی مانند .htaccess که معمولاً شامل تنظیمات مربوط به امنیت است را از روی سرور پاک کند.

علاوه بر این، حذف فایل wp-config.php که یکی از مهم‌ترین فایل‌های پیکربندی در WordPress است و شامل اطلاعات مربوط به اتصال به پایگاه داده می‌باشد، می‌تواند تمام وب‌سایت را به صفحه نصب بازگرداند و گفته می‌شود به مهاجم اجازه می‌دهد که وب‌سایت را از طریق مرورگر مجدداً پیکربندی کند و کنترل آن را به‌طور کامل در اختیار گیرد.

بااین‌حال، لازم به ذکر است ازآنجایی‌که که مهاجم به‌طور مستقیم نمی‌تواند محتوای فایل wp-config.php را با دانستن نام پایگاه داده موجود، نام کاربری mysql و رمز عبور آن بخواند، او باید مجدداً سایت مورد هدف را با استفاده از یک سرور پایگاه داده از راه دور که در کنترل خود قرار دارد، راه‌اندازی کند.

پس از تکمیل، مهاجم می‌تواند یک حساب کاربری جدید ایجاد کند و کنترل کامل یک وب‌سایت ازجمله توانایی اجرای کد دلخواه بر روی سرور را در دست گیرد.

محققان دراین‌باره می‌گویند: “علاوه بر امکان پاک کردن کل WordPress، که اگر هیچ پشتیبانی از آن در دسترس نباشد، می‌تواند پیامدهای فاجعه‌آمیز داشته باشد، مهاجم می‌تواند از قابلیت حذف فایل دلخواه برای دور زدن برخی از اقدامات امنیتی و اجرای کد دلخواه بر روی وب سرور استفاده کند.”

در ویدیوی اثبات ادعای منتشرشده توسط محققان[۲]، این آسیب‌پذیری همان‌طور که توضیح داده‌شده به‌خوبی کار می‌کند و سایت را مجبور به نمایش دادن صفحه نصب می‌کند.

بااین‌حال، مدیران وب سایت‌ها به خاطر این آسیب‌پذیری نباید هراس داشته باشند و می‌توانند به‌طور دستی یک وصله ارائه‌شده توسط محققان را بر روی سایت خود اعمال کنند.

ما انتظار داریم تیم امنیتی WordPress این آسیب‌پذیری را در نسخه جدید از CMD نرم‌افزار خود وصله کند.

منابع

[۱] https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution

[۲] https://youtu.be/dqyrc7euSDA

[۳] https://thehackernews.com/2018/06/wordpress-hacking.html

(۱) authenticated arbitrary file deletion
(۲) unsanitized
(۳) rogue content contributor