وردپرسسایت‌های وردپرس توسط یک نوع ناشناخته از دژافزار لینوکس هدف قرار می‌گیرند که از نقص‌های بیش از دوازده افزونه و Theme برای به خطر انداختن سیستم‌های آسیب‌پذیر بهره‌برداری می‌کند.

Doctor Web، فروشنده امنیتی روسی در گزارشی که هفته گذشته منتشر شد، دراین‌باره گفت[۱]: «اگر سایت‌ها از نسخه‌های منسوخ‌شده چنین افزونه‌هایی استفاده می‌کنند که اصلاحات اساسی ندارند، صفحات وب مورد هدف با جاوا اسکریپت‌های مخرب تزریق می‌شود». درنتیجه، هنگامی‌که کاربران روی هر ناحیه از صفحه موردحمله کلیک می‌کنند، به سایت‌های دیگر هدایت می‌شوند.

این حملات شامل مسلح کردن فهرستی از آسیب‌پذیری‌های امنیتی شناخته‌شده در ۱۹ افزونه و Theme مختلف است که احتمالاً در یک سایت وردپرس نصب‌شده‌اند و از آن برای استقرار ایمپلنتی استفاده می‌کنند که می‌تواند یک وب‌سایت خاص را برای گسترش بیشتر شبکه هدف قرار دهد.

این دژافزار همچنین قادر است کد جاوا اسکریپت بازیابی شده از یک سرور راه دور را تزریق کند تا بازدیدکنندگان سایت را به یک وب‌سایت دلخواه به انتخاب مهاجم هدایت کند.

Doctor Web گفت که نسخه دوم درب پشتی را شناسایی کرده است که از دامنه فرمان و کنترل جدید (C2) و همچنین لیست به‌روز شده‌ای از نقص‌ها شامل ۱۱ افزونه اضافی استفاده می‌کند که مجموع را به ۳۰ می‌رساند.

پلاگین‌ها و Theme های موردنظر در زیر آمده است:

  • WP Live Chat Support
  • Yuzo Related Posts
  • Yellow Pencil Visual CSS Style Editor
  • Easy WP SMTP
  • WP GDPR Compliance
  • Newspaper (CVE-2016-10972)
  • Thim Core
  • Smart Google Code Inserter (discontinuedas of January 28, 2022)
  • Total Donations
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Live Chat with Messenger Customer Chat by Zotabox
  • Blog Designer
  • WordPress Ultimate FAQ (CVE-2019-17232and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • ND Shortcodes
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy
  • FV Flowplayer Video Player
  • WooCommerce
  • Coming Soon Page & Maintenance Mode
  • Onetone
  • Simple Fields
  • Delucks SEO
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher, and
  • Rich Reviews

گفته می‌شود که هر دو نوع شامل یک روش اجرا نشده برای اعمال brute-forcing حساب‌های مدیر وردپرس می‌شوند، اگرچه مشخص نیست که آیا این بازمانده‌ای از نسخه قبلی است یا عملکردی است که هنوز روشن نشده است.

این شرکت گفت: «اگر چنین گزینه‌ای در نسخه‌های جدیدتر درب پشتی پیاده‌سازی شود، مجرمان سایبری حتی می‌توانند با موفقیت به برخی از وب‌سایت‌هایی که از نسخه‌های افزونه فعلی با آسیب‌پذیری‌های وصله شده استفاده می‌کنند، حمله کنند».

به کاربران وردپرس توصیه می‌شود که تمام اجزای پلتفرم، ازجمله افزونه‌ها و Theme های شخص ثالث را به‌روز نگه دارند. همچنین توصیه می‌شود از لاگین‌ها و رمزهای عبور قوی و منحصربه‌فرد برای ایمن‌سازی حساب‌های خود استفاده کنید.

این افشاگری هفته‌ها پس‌ازآن صورت می‌گیرد که Fortinet FortiGuard Labs بات‌نت دیگری به نام GoTrim[2] را توضیح داد که برای تحت‌فشار قرار دادن وب‌سایت‌های خود میزبانی‌شده با استفاده از سیستم مدیریت محتوای وردپرس (CMS) برای در اختیار گرفتن کنترل سیستم‌های هدف طراحی شده است.

ماه گذشته، Sucuri اشاره کرد که بیش از ۱۵۰۰۰ سایت وردپرس به‌عنوان بخشی از یک کمپین مخرب[۳] برای هدایت بازدیدکنندگان به پورتال‌های جعلی پرسش و پاسخ نقض شده است. تعداد مبتلایان فعال در حال حاضر ۹۳۱۴ نفر است[۴].

شرکت امنیتی وب‌سایت متعلق به GoDaddy، در ژوئن ۲۰۲۲، همچنین اطلاعاتی را در مورد یک سیستم هدایت ترافیک (TDS) به نام [۵]Parrot به اشتراک گذاشت که مشاهده شده است که سایت‌های وردپرس را با قرار دادن یک دژافزار اضافی روی سیستم‌های هک شده توسط یک جاوا اسکریپت سرکش، هدف قرار می‌دهد.

 

منابع

[۱] https://news.drweb.com/show/?i=14646&lng=en&c=23

[۲] https://thehackernews.com/2022/12/new-gotrim-botnet-attempting-to-break.html

[۳] https://thehackernews.com/2022/11/over-15000-wordpress-sites-compromised.html

[۴] https://publicwww.com/websites/%22ois.is%22

[۵] https://thehackernews.com/2022/06/researchers-uncover-malware-controlling.html

[۶] https://thehackernews.com/2023/01/wordpress-security-alert-new-linux.html