بهره‌برداری فعال از نقص امنیتی در پلاگین محبوب وردپرس

آسیب‌پذیری جدیدی در پلاگین محبوب وردپرس، یعنی Essential Addons for Elementor یافت شده که می‌تواند برای افزایش سطح دسترسی در وبسایت‌های آسیب‌دیده به کار رود. توسعه دهندگان پلاگین این مشکل را که با شناسه‌ی CVE-2023-32243 ردیابی می‌شود، در نسخه‌ی ۵.۷.۲ که یازدهم می ۲۰۲۳ منتشر شد رفع کردند. Essential Addons for Elementor بیش از یک میلیون نصب فعال دارد.

به‌گفته‌ی رافی محمد، محقق Patchstack، این پلاگین دچار یک آسیب‌پذیری ارتقای سطح دسترسی احرازهویت‌نشده است و به کاربر احرازهویت‌نشده امکان ارتقای سطح دسترسی خود، تا حد هر یک از کاربران سایت وردپرس را می‌دهد. سوءاستفاده‌ی موفقیت‌آمیز از این نقص می‌تواند به عامل تهدید این امکان را بدهد که درصورت دانستن نام کاربری هر کاربر دلخواه، رمز عبور او را بازنشانی کند. تصور می‌شود این نقص از نسخه‌ی ۵.۴.۰ تاکنون وجود داشته است. این امر می‌تواند عواقب دیگری داشته باشد، چراکه می‌توان از این نقص برای بازنشانی رمزعبور حساب‌های مدیریتی و به دست آوردن کنترل کامل وبسایت استفاده کرد.

محمد افزود: «دلیل ظهور این آسیب‌پذیری این است که عملکرد بازنشانی رمز عبور، کلید بازنشانی رمزعبور را اعتبارسنجی نمی‌کند و درعوض مستقیماً رمزعبور کاربر مورد نظر را تغییر می‌دهد»

این در حالی است که بیش از یک سال قبل نقص جدی دیگری در همین پلاگین توسط Patchstack آشکار شد که به عامل تهدید امکان اجرای کد دلخواه روی وبسایت‌های تهدیدشده می‌داد. همچنین این یافته‌ها به‌دنبال پرده‌برداری از موج جدیدی از حمله‌ها از اواخر مارس ۲۰۲۳ است که سایت‌های وردپرس را هدف قرار داده و به‌دنبال Inject کردن بدافزار بدنام SocGholish (یا FakeUpdates) هستند. SocGholish یک چهارچوب بدافزار جاوا اسکریپت است که برای تسهیل توزیع بدافزارهای بیشتر در هاست‌های آلوده‌شده، دسترسی اولیه ایجاد می‌کند. این بدافزار از طریق دانلودهای گذری (Drive-by) که در قالب آپدیت مرورگر وب مخفی می‌‌شوند، توزیع شده است.

کمپین اخیر این بدافزار که توسط Sucuri شناسایی شده است، به‌منظور مخفی کردن بدافزار، کاهش دادن ظرفیت اشغال‌شده‌ی آن و جلوگیری از شناسایی شدن از تکنیک‌های فشرده‌سازی با استفاده از نرم‌افزاری به‌نام zlib استفاده می‌کند.

به‌گفته‌ی دنیس سینگوبکو، محقق Sucuri عاملان مخرب مدام تاکتیک‌ها، تکنیک‌ها و رویه‌های خود را متحول می‌کنند تا از شناسایی شدن اجتناب کنند و عمر کمپین‌های بدافزاری خود را افزایش دهند.

«SocGholish مثال بارز این امر است، چراکه مهاجمان در گذشته برای Inject کردن اسکریپت‌های مخرب به وبسایت‌های وردپرس رویکرد خود را تغییر داده‌اند»

اما این امر تنها درمورد SocGholish صدق نمی‌کند. این هفته Malwarebytes در گزارشی فنی از کمپین توزیع بدافزاری پرده برداشت که به بازدیدکنندگان از وبسایت‌های بزرگسالان تبلیغات پسنمایی (Popunder) نشان می‌داد و یک به‌روزرسانی ویندوز جعلی را شبیه‌سازی می‌کرد تا بارگذار in2al5d p3in4er (یا Invalid Printer) را وارد سیستم آن‌ها کند»

به‌گفته‌ی جروم سگورا، سرپرست هوش امنیت Malwarebytes، این نقشه به خوبی طرح‌ریزی شده چراکه متکی بر مرورگر وب است تا بتواند یک انیمیشن تمام صفحه را نمایش دهد که بسیار شبیه به کارهای مایکروسافت است.

بارگذار این کمپین که ماه قبل توسط Morphisec ثبت شد، به‌گونه‌ای طراحی شده که کارت گرافیک سیستم را چک کرده و بررسی کند که روی ماشین مجازی اجرا می‌شود یا در یک محیط Sandbox، و در نهایت بدافزار سارق اطلاعات Aurora را اجرا کند.

طبق گزارش Malwarebytes این کمپین طی دو ماه گذشته ۵۸۵ قربانی داشته و عامل تهدید آن به سایر کمپین‌های کلاهبرداری تکنولوژی و پنل صدور و کنترل Amadey bot نیز مرتبط است.

هرچه سریع‌تر افزونه Essential Addons for Elementor را بروزرسانی کنید

Wordfence در هشدار خود اعلام کرد که آسیب‌پذیری حیاتی در پلاگین Essential Addons for Elementor مورد Exploit فعال در محیط قرار می‌گیرد و طی ۲۴ ساعت گذشته ۲۰۰ حمله که این نقص را هدف گرفته بودند مهار کرده است که به این معنی است که کاربران باید هرچه سریع‌تر نسبت به به‌روزرسانی پلاگین به آخرین نسخه اقدام کنند.