مهر ۲۶, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

برخی از افزونه های wordpress در یک حمله Supply Chain دچار Backdoor شده اند.

هکری source code حداقل پنج افزونه در WordPress.org را تغییر داد تا اسکریپت‌های PHP مخرب را در آن‌ها قرار دهد که باعث ایجاد حساب‌های کاربری با امتیازات مدیریتی بر روی وب‌سایت‌هایی که آن افزونه‌ها را اجرا می‌کنند، می‌شود.

این حمله توسط تیم اطلاعاتی Wordfence Threat Intelligence کشف شد، اما به نظر می‌رسد که در اواخر هفته گذشته، بین ۲۱ ژوئن و ۲۲ ژوئن رخ داده است.

به محض اینکه Wordfence این آسیب پذیری را کشف کرد، این شرکت به توسعه دهندگان افزونه ها هشدار داد که محصولات خود را به روزرسانی کنند.

این پنج افزونه بیش از ۳۵۰۰۰ بار نصب شده اند :

  • Social Warfare 4.4.6.4 to 4.4.7.1 (fixed in version 4.4.7.3)
  • افزونه Blaze Widget 2.2.5 to 2.5.2 (fixed in version 2.5.4)
  • افزونه Wrapper Link Element 1.0.2 to 1.0.3 (fixed in version 1.0.5)
  • افزونه Contact Form 7 Multi-Step Addon 1.0.4 to 1.0.5 (fixed in version 1.0.7)
  • افزونه Simply Show Hooks 1.2.1 to 1.2.2 (no fix available yet)

Wordfence همچنین اعلام کرد که، نحوه ی دسترسی گرفتن هکر به source code ها را در حال حاضر نمی داند و تحقیقات در این باره ادامه دارد.

اگرچه ممکن است این حمله بر تعداد بیشتری از افزونه‌های wordpress تأثیر بگذارد، اما شواهد فعلی نشان می‌دهد که در حال حاضر پنج افزونه مورد سواستفاده قرار گرفته است.

عملیات Backdoor و IoC ها

کد مخرب موجود در افزونه‌های آلوده سعی می‌کند حساب‌های مدیریت جدید ایجاد کند و SEO spam را به وب‌سایت در معرض خطر تزریق کند.

Wordfence همچنین توضیح داد: در این مرحله، ما می دانیم که بدافزار تزریق شده تلاش می کند تا یک حساب کاربری مدیریتی جدید ایجاد کند و سپس آن جزئیات را به سرور کنترل شده توسط مهاجم(C2) ارسال کند.

علاوه بر این، به نظر می‌رسد که هکر کد جاوا اسکریپت مخرب را به footer سایت ها تزریق کرده که به نظر می‌رسد SEO spam را در سراسر وب‌سایت اضافه می‌کند.

به گفته کارشناسان امنیتی داده‌ها به آدرس IP 94.156.79[.]8 ارسال می‌شوند، در حالی که حساب‌های ادمین به طور دلخواه با نام‌های “Options” و “PluginAuth” ایجاد شده‌اند.

صاحبان وب‌سایت‌ها که حساب‌های مشابه یا ترافیک به آدرس IP مهاجم را مشاهده کنند، باید یک اسکن کامل برای شناسایی نرم‌افزارهای مخرب انجام دهند و پاکسازی لازم را انجام دهند.

Wordfence توضیح داد که برخی از افزونه هایی که تحت تأثیر این آسیب پذیری قرار گرفته اند، به طور موقت از WordPress.org حذف شده اند، که ممکن است باعث شود کاربران حتی در صورت استفاده از نسخه اصلاح شده اخطار دریافت کنند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب