نقص امنيتی در پلاگين وردپرس و حمله به هزاران سايت

شماره: IRCNE2014072265
تاريخ: 93/5/4

اخيراً يك آسيب‌پذيري حياتي در يك پلاگين مشهور وردپرس كشف شده است كه به طور فعال توسط هكرها هدف قرار گرفته و تا كنون براي سوء استفاده از حدود 50 هزار سايت مورد استفاده قرار گرفته است.
اين نقص امنيتي در MailPoet Newsletters كه پيش‌تر تحت عنوان wysija-newsletters شناخته مي‌شد قرار دارد و در نسخه 2.6.7 اين پلاگين كه در روز اول جولاي عرضه شد، ترميم شده است. درصورتي‌كه اين نقص اصلاح نگردد، به مهاجمان اجازه مي‌دهد فايل‌هاي PHP دلخواه را بر روي وب‌سرور آپلود كرده و كنترل سايت را در اختيار بگيرند.
MailPoet Newsletters تا كنون تقريباً دو ميليون بار از مخزن پلاگين‌هاي وردپرس دانلود شده است.
چندين روز پيش محققاني از شركت امنيتي Sucuri، يك حمله خودكار را كشف كردند كه يك فايل PHP نفوذگر را به بسياري از سايت‌هاي وردپرس تزريق مي‌كرد. تحليل عميق‌تر نشان داد كه اين حمله، آسيب‌پذيري آپلود فايل MailPoet را كه در ابتداي ماه اصلاح شده بود مورد سوء استفاده قرار مي‌دهد.
به گفته محققان Sucuri، اين راه نفوذ بسيار خرابكار بوده و يك كاربر ادمين به نام 1001001 ايجاد مي‌كند. اين فايل همچنين يك كد backdoor را به تمامي فايل‌هاي تم و core تزريق مي‌كند. بزرگترين مسأله اين تزريق اين است كه اغلب فايل‌هاي مفيد و معتبر را بازنويسي مي‌كند و آنها را از بين مي‌برد كه بازيابي مجدد آنها بدون در اختيار داشتن نسخه پشتيبان، بسيار مشكل است.
اسكنر رايگان Sucuri، هر روزه چند هزار سايت را كه توسط اين حمله مورد سوء استفاده قرار گرفته‌اند شناسايي مي‌كند. Sucuri تخمين مي‌زند كه حدود 50 هزار سايت تا كنون آلوده شده باشند.
برخي سايت‌ها كه MailPoet را نصب نكرده‌اند يا حتي از وردپرس استفاده نمي‌كنند نيز مورد سوء استفاده قرار گرفته‌اند. چرا كه اين آلودگي از سايت‌هاي ديگر به آنها سرايت مي‌كند. اگر يك حساب ميزباني وب از يك سايت وردپرس آسيب‌پذير در برابر اين حمله ميزباني كند، فايل PHP نفوذگر كه از طريق اين وب‌سايت آپلود شده است مي‌تواند تمامي سايت‌هاي ميزباني شده در آن حساب ميزباني را آلوده نمايد.
در اغلب شركت‌هاي ميزباني وب، يك حساب نمي‌تواند به فايل‌هاي حساب ديگر دسترسي پيدا كند. بنابراين سرايت آلودگي به سايت‌هاي ميزباني شده در همان حساب محدود مي‌گردد. اما درصورتي‌كه سرور به درستي پيكربندي نشده باشد، آلودگي مي‌تواند به تمامي سايت‌ها و حساب‌هاي آن سرور سرايت نمايد.
اسكريپت تزريق مورد استفاده در حمله اوليه داراي نقصي بود كه فايل‌هاي معتبر سايت را تخريب مي‌كرد و منجر به خطاي واضح مي‌شد. اما اكنون ديگر اينطور نيست و مهاجمان كد را تصحيح كرده و نسخه‌هاي اخير اين بدافزار سايت را از كار نمي‌اندازند.
كاربران براي محافظت وب‌سايت‌هاي وردپرس خود در برابر اين آسيب‌پذيري بايد پلاگين MailPoet را به نسخه آخر آن يعني 2.6.9 به‌روز رساني نمايند. نسخه 2.6.8 كه روز 4 جولاي عرضه شده است يك مسأله امنيتي ديگر را نيز پوشش مي‌دهد.