حدد باحثو الأمن من Wordfence وWebARX العديد من نقاط الضعف الخطيرة في خمسة مكونات إضافية لنظام إدارة محتوى الويب WordPress، بإجمالي أكثر من مليون عملية تثبيت.
- في البرنامج المساعد والتي لديها أكثر من 700 ألف منشأة. تم تصنيف المشكلة بمستوى خطورة 9 من أصل 10 (CVSS). تسمح الثغرة الأمنية للمستخدم المعتمد الذي يتمتع بحقوق المشترك بحذف أو إخفاء (تغيير الحالة إلى مسودة غير منشورة) أي صفحة من الموقع، بالإضافة إلى استبدال المحتوى الخاص به على الصفحات.
عالي التأثر في الإصدار 1.8.3. - في البرنامج المساعد يبلغ عددها أكثر من 200 ألف عملية تثبيت (تم تسجيل هجمات حقيقية على المواقع، وبعد بدايتها وظهور بيانات حول الثغرة الأمنية، انخفض عدد عمليات التثبيت بالفعل إلى 100 ألف). تسمح الثغرة الأمنية للزائر غير المصادق بمسح محتويات قاعدة بيانات الموقع وإعادة تعيين قاعدة البيانات إلى حالة تثبيت جديدة. إذا كان هناك مستخدم اسمه admin في قاعدة البيانات، فإن الثغرة الأمنية تسمح لك أيضًا بالتحكم الكامل في الموقع. سبب الثغرة الأمنية هو الفشل في مصادقة مستخدم يحاول إصدار أوامر مميزة عبر البرنامج النصي /wp-admin/admin-ajax.php. تم إصلاح المشكلة في الإصدار 1.6.2.
- في البرنامج المساعد ، يستخدم في 44 ألف موقع. تم تعيين مستوى خطورة للمشكلة يبلغ 9.8 من 10. وتسمح الثغرة الأمنية لمستخدم غير مصادق بتنفيذ كود PHP الخاص به على الخادم واستبدال حساب مسؤول الموقع عن طريق إرسال طلب خاص عبر REST-API.
وقد تم بالفعل تسجيل حالات استغلال الثغرة الأمنية على الشبكة، لكن التحديث مع الإصلاح ليس متاحًا بعد. يُنصح المستخدمون بإزالة هذا البرنامج المساعد في أسرع وقت ممكن. - في البرنامج المساعد ويبلغ عددها 60 ألف منشأة. تم تحديد مستوى خطورة المشكلة وهو 8.8 من أصل 10. وتسمح الثغرة الأمنية لأي زائر معتمد، بما في ذلك أولئك الذين لديهم حقوق المشترك، بتصعيد امتيازاتهم إلى مسؤول الموقع أو الوصول إلى لوحة التحكم wpCentral. تم إصلاح المشكلة في الإصدار 1.5.1.
- في البرنامج المساعد مع حوالي 65 ألف منشأة. تم تعيين مستوى خطورة للمشكلة وهو 10 من أصل 10. تسمح الثغرة الأمنية لمستخدم لم تتم مصادقته بإنشاء حساب يتمتع بحقوق المسؤول (يسمح لك المكون الإضافي بإنشاء نماذج تسجيل ويمكن للمستخدم ببساطة تمرير حقل إضافي يتضمن دور المستخدم، وتعيينه إنه مستوى المسؤول). تم إصلاح المشكلة في الإصدار 3.1.1.
بالإضافة إلى ذلك ، يمكن ملاحظته شبكات لتوزيع ملحقات طروادة وموضوعات WordPress. وضع المهاجمون نسخًا مقرصنة من المكونات الإضافية المدفوعة على مواقع دليل وهمية، بعد أن قاموا مسبقًا بدمج باب خلفي فيها للوصول عن بعد وتنزيل الأوامر من خادم التحكم. بمجرد تفعيلها، تم استخدام التعليمات البرمجية الضارة لإدراج إعلانات ضارة أو خادعة (على سبيل المثال، تحذيرات حول الحاجة إلى تثبيت برنامج مكافحة فيروسات أو تحديث المتصفح الخاص بك)، وكذلك لتحسين محرك البحث للترويج للمواقع التي توزع المكونات الإضافية الضارة. ووفقا للبيانات الأولية، تم اختراق أكثر من 20 ألف موقع باستخدام هذه المكونات الإضافية. وكان من بين الضحايا منصة تعدين لامركزية، وشركة تجارية، وبنك، والعديد من الشركات الكبيرة، ومطور حلول الدفع باستخدام بطاقات الائتمان، وشركات تكنولوجيا المعلومات، وما إلى ذلك.
المصدر: opennet.ru