اخبار امنیت

آسیب پذیری از درجه بحرانی در دو افزونه وردپرس

آسیب پذیری از درجه بحرانی در دو افزونه وردپرس

اگر از افزونه‌های صفحه ساز وردپرس Ultimate Addons for Beaver Builder یا Ultimate Addons for Elementor استفاده می‌نمایید در معرض آسیب پذیری قرار دارید و بایستی هر چه سریعتر افزونه‌ های مورد نظر خود را به آخرین نسخه ارتقا دهید. محققان امنیتی موفق به کشف یک آسیب پذیری از درجه بحرانی در نسخه غیررایگان این دو افزونه شده‌اند. مهاجمین تنها دو روز بعد از کشف این آسیب پذیری شروع به بهره برداری از آن نمودند و بر روی سایت‌های وردپرسی مورد نظرشان با استفاده از این آسیب پذیری درب پشتی نصب کردند.

هر دو افزونه توسط شرکت نرم افزار Brainstorm توسعه داده شده و در هزاران وب سایتی که از فریم ورک‌های Elementor و Beaver Builder استفاده می‌کنند مورد استفاده قرار گرفته‌ است. پس به علت بالا بودن حجم وب سایت‌هایی که از این دو افزونه استفاده می‌کنند با سطح آسیب پذیری بالایی روبروهستیم. محققان در مرکز امنیتی MalCare این آسیب پذیری را کشف کردند. در حقیقت این دو افزونه به صاحبان حساب‌های کاربری اجازه می‌دهد تا از طریق فیس بوک و یا گوگل به حساب کاربری وردپرس خود وارد شوند. آسیب پذیری مربوطه نیز دقیقا از همین مکانیزم استفاده می‌نماید. محققان شرکت WebRAX نیز مطالعات جرم شناسی بر روی این آسیب پذیری انجام داده‌اند که در ادامه مختصری از آن را شرح خواهیم داد.

مطالعات جرم شناسی WebARX

بعد از آنکه یکی از مشتریان WebARX یک رفتار غیرعادی را در activity log ها به این کمپانی در ۱۱ دسامبر گزارش داد، از سوی محققان WebARX تحقیقان فارنزیک بر روی وب سایت‌های هدف صورت پذیرفت. در نتیجه این تحقیقات مشخص شد که از ۱۰ دسامبر وب سایت‌هایی که افزونه Ultimate Add-ons Elementor را بر روی خود دارند مورد حمله قرار گرفته اند. مهاجمین با بهره گیری از این آسیب پذیری به حساب‌های کاربری موجود بدون نیاز به گذر واژه وارد می‌شوند و برای این کار تنها نیاز به داشتن رایانامه مدیران سایت دارند که به دست آوردن آن‌ها چندان سخت نیست. مهاجمان بعد از ورود به سایت اقدام به نصب یک افزونه تقلبی seo می‌نمایند که از طریق آن یک درب پشتی به root directory سایت آسیب پذیر ساخته خواهد شد. بعد از ایجاد آلودگی IPهای متعددی اقدام به دسترسی به فایل wp-xmlrcp.php می‌نمایند. این آسیب پذیری در نسخه ۱٫۲۰٫۱ برای Ultimate Addons for Elementor و نسخه ۱٫۲۴٫۱ برای Ultimate Addons for Beaver Builder برطرف شده است.  در نتیجه این دو افزونه اگر بر روی سایت وردپرسی‌ای نصب باشند به مهاجمین اجازه دور زدن کامل احراز هویت را خواهند داد.

فعالیت مهاجمین که در لاگ‌ها مشخص شداه است

[۱۰/Dec/2019:17:01:27 +0000] 46.39.66.251 - arxarxarx.com "GET / HTTP/1.1" 200 19573 "arxarxarx.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

[۱۰/Dec/2019:17:01:33 +0000] 46.39.66.251 - arxarxarx.com "POST /wp-admin/admin-ajax.php HTTP/1.1" 403 33 "https://arxarxarx.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

[۱۱/Dec/2019:10:35:47 +0000] 46.39.66.251 - arxarxarx.com "GET /wp-admin/ HTTP/1.1" 200 48090 "https://arxarxarx.com/wp-admin/admin-ajax.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

[۱۱/Dec/2019:10:35:52 +0000] 46.39.66.251 - arxarxarx.com "GET /wp-admin/plugin-install.php HTTP/1.1" 200 44740 "https://arxarxarx.com/wp-admin/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

[۱۱/Dec/2019:10:36:06 +0000] 46.39.66.251 - arxarxarx.com "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 35471 "https://arxarxarx.com/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

[۱۱/Dec/2019:10:36:17 +0000] 46.39.66.251 - arxarxarx.com "GET /wp-admin/plugins.php?action=activate&plugin=seostatss%2Fseostats.php&_wpnonce=arxarxarx HTTP/1.1" 302 5 "https://arxarxarx.com/wp-admin/update.php?action=upload-plugin" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

[۱۱/Dec/2019:10:36:29 +0000] 46.39.66.251 - arxarxarx.com "GET /wp-admin/plugins.php?error=true&charsout=11&plugin=seostatss%2Fseostats.php&plugin_status=all&paged=1&s&_error_nonce=arxarxarx HTTP/1.1" 200 67862 "https://arxarxarx.com/wp-admin/update.php?action=upload-plugin" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

[۱۱/Dec/2019:10:36:30 +0000] 46.39.66.251 - arxarxarx.com "GET /wp-xmlrpc.php HTTP/1.1" 200 329 "https://arxarxarx.com/wp-admin/plugins.php?error=true&charsout=11&plugin=seostatss%2Fseostats.php&plugin_status=all&paged=1&s&_error_nonce=arxarxarx" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

بررسی آسیب پذیری بر روی وب سایت وردپرسی

اگر از نسخه ۱٫۰ به قبل افزونه Ultimate Addons استفاده می‌نمایید قطعا آسیب پذیر هستید و بایستی به سرعت به آخرین نسخه بروزرسانی نمایید. نسخه‌های امن به ترتیب زیر هستند:

  • برای Ultimate Addons for Beaver Builder نسخه ۱٫۲٫۴٫۱
  • برای Ultimate Addons for Elementor نسخه ۱٫۲۰٫۱

اگر سایت شما از نسخه قدیمی تر استفاده می‌کند، آسیب پذیر هستید. استفاده از پویشگرهای آسیب پذیری وب و همچنین اجرای تست نفوذ وب در این موارد منجر به کشف آسیب پذیری خواهد شد.

سخن آخر

بهره برداری موفق از این آسیب پذیری به معنای دسترسی مهاجمین به حساب کاربری مدیر و یا مدیران سایت می‌باشد از سویی همانطور که در ابتدا نیز گفتیم حجم بالایی از سایت‌های وردپرسی از این دو افزونه استفاده نموده و در نتیجه آسیب پذیر هستند. پس این آسیب پذیری بسیار مورد توجه مهاجمین بوده و همانطور که گفتیم تنها دو روز بعد از کشف آن مهاجمین اقدام به بهره برداری از آن نمودند. تا کنون نیز فهرست بلندی از سایت‌هایی که مورد بهره برداری قرار گرفته اند وجود دارد. کارهایی که مهاجمین با بهره برداری از این آسیب پذیری می‌توانند انجام دهند سرقت داده‌ها، تغییر مسیر بازدیدکنندگان به سایت‌های اسپم و فروش محصولات غیر قانونی از طریق سایت شما خواهد بود. مورد تهاجم قرار گرفتن و هک شدن یک وب سایت خسارتی غیر قابل جبران به یک سازمان و یا تجارت وارد خواهد نمود پس بررسی‌های امنیتی و استفاده از راهکارهای امنیتی را هیچگاه کم اهمیت به حساب نیاورید.

یکی از حوزه‌های فعالیت آرمان داده پویان امنیت وب می‌باشد. آرمان داده پویان با تامین تجهیزات امنیتی مانند WAF، پویشگرهای آسیب‌پذیری وب و ارائه تست نفوذ وب با بهره‌گیری از یک تیم متخصص امنیت و برنامه‌نویسی و مطابق با آخرین متدولوژی‌های روز خدمات ارزشمندی را به شما ارائه خواهد داد.

برای مشاوره و کسب اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 267


تازه ترین ها