ITanalyze

اکسپلویت‌های فعال در حال هدف قرار دادنِ نقص تازه پچ‌شده‌ای در افزونه‌ی Duplicator محبوب پلاگین وردپرس  هستند که تا به حال بیش از یک میلیون نصب فعال داشته است. محققین تاکنون 60 هزار اقدام جهت جمع‌آوری اطلاعات حساس از قربانیان مشاهده کرده‌اند. محققینِ  Wordfence که این حملات را کشف کردند چند روز گذشته خبر دادند 50 هزار عدد از آن حملات پیش از اینکه سازنده‌ی افزونه‌ی Duplicator یعنی Snap Creek برای باگ 12 فوریه پچی ارائه دهد رخ دادند- بنابراین در فضای بیرون به عنوان روز صفر اکسپلویت شده بوده است. 

باگ 
Duplicator در حقیقت یک بک‌آپ ساده و ابزار مهاجرت سایت است. این افزونه به ادمین‌های سایت وردپرس این توانایی را می‌دهد تا از سایتی مهاجرت کرده، آن را کپی، انتقال و یا شبیه‌سازی کنند. وردپرس می‌گوید Duplicator بیش از 15 میلیون بار است که دانلود شده و در بیش از یک میلیون سایت است که به طور فعالانه مورد استفاده قرار می‌گیرد. متأسفانه، Duplicator قبل از نسخه 1.3.28 و Duplicator قبل از نسخه 3.8.7 حاوی یک آسیب‌پذیریِ دانلود فایل تعمدی و محرزنشده می‌باشند. شرکت  Tenable چنین می‌گوید: «یک مهاجم ریموت که هویت محرزنشده‌ای دارد می‌تواند با ارسال درخواستی خوش‌ساخت به سایت وردپرس بواسطه‌ی نسخه‌ی آسیب‌پذیر پلاگین Duplicator این آسیب‌پذیری را اکسپلویت کند». این کار در واقع به مهاجمین اجازه می‌دهد تا فایل‌های بیرون از دایرکتوریِ مورد نظر را دانلود کنند.
 محقق شرکت Tenable در ادامه گفت، «تنها مانع این است که مهاجم به یک سری اطلاعات در خصوص ساختار فایل مورد هدف یا اقدام برای دانلود فایل‌هایی که همه‌شناس هستند نیاز خواهد داشت». دو قابلیت duplicator_download و  duplicator_init در نسخه‌های پچ‌نشده آسیب‌پذیر هستند چون با استفاده از  wp_ajax_nopriv_ hook پیاده‌سازی شده‌اند. در عمل این بدان معناست که آن‌ها روی هر صفحه‌ی وردپرس که لود می‌شود -فرقی ندارد کاربر لاگ شده یا نه- اجرا خواهند شد. «داخل این قابلیت‌ها، پارامترهای فایل گرچه طبق اصول بهداشتی رفتار می‌کرده ولی معتبر نبوده، بنابراین مهاجم می‌توانست برای دسترسی به فایل‌های خارج از مسیر مشخص Duplicator از مسیری پیمایشی استفاده کند. این فایل‌ها شامل  wp-config.php file می‌شوند». این همان فایل تنظیمات سایت وردپرس است که در خود پایگاه اطلاعاتی مهمی دارد و همچنین از کلیدهای احراز هویت هم برخوردار است. 

حملات 
به نقل از وردپرس، آن 60 هزار اقدام به اکسپلویتی که در تله‌متری مشتری‌اش دید همه تلاش هایی بودند برای دانلود فایل wp-config.php. بسته به سایت، wp-config.php می‌تواند حاوی هر مقدار کد سفارشی باشد اما مهاجمین آن را هدف قرار می‌دهند تا بتوانند به پایگاه اطلاعاتی یک سایت دسترسی پیدا کنند. مهاجم با در دست داشتن این اطلاعات محرمانه می‌تواند مستقیماً به پایگاه اطلاعاتی سایت قربانی دسترسی پیدا کند (البته اگر کانکشن‌های ریموت میسر شود). این دسترسی می‌تواند توسط مهاجم برای ساخت اکانت شخصی ادمین و سپس دستکاری سایت مورد استفاده قرار گیرد. یا شاید تنها برای تزریق محتوا یا جمع‌اوری داده به کار رود. 
با این تفاسیر حتی وبسایت‌هایی که تنظیمات پایگاه اطلاعاتی‌شان طوریست که فقط مخصوص دسترسی‌های داخلیست هم می‌توانند مورد دستبرد واقع شوند- اگر این پایگاه‌های اطلاعاتی در محیط میزبانیِ همگانی قرار گرفته باشند. این امکان وجود دارد که کاربری که در سروری مشترک قرار دارد بتواند به پایگاه اطلاعاتی داخلی سایت دیگر روی همان سرور دسترسی داشته باشد.
 تقریباً تمام حملاتی که محققین شاهدش بودند از یک آدرس آی‌پی مشترک یعنی  77.71.115.52 آمده بودند. این به مرکز اطلاعاتی بلغارستان که صاحبش Varna Data Center EOOD است مربوط می‌شود. این حملات با استفاده از رشته‌های جست‌وجوی action=duplicator_download و file=/../wp-config.php از طریق درخواست‌های GET صادر می‌شوند. کلی از وبسایت‌ها روی همین سرور میزبانی می‌شوند و این نشان می‌دهد که مهاجم می‌تواند از طریق وبسایتی دستکاری‌شده حملات خود را پیش ببرند. افزون بر این، Wordfence افزود که همان آدرس آی‌پی به فعالیت مخرب اخیر دیگری علیه وردپرس هم وصل است؛ بنابراین محققین همچنان دارند این وضعیت را مورد نظارت و کنترل قرار می‌دهند. پایگاه نصب گسترده Duplicator ترکیب‌شده با راحتیِ اکسپلویت این آسیب‌پذیری چنین نقصی را به طعمه‌ی لذیذی برای هکرها تبدیل کرده است. خیلی مهم است که کاربران Duplicator پلاگین‌های خود را به آخرین نسخه‌ی موجود (هر چه سریعتر) آپدیت کنند تا این خطر از بین برود. 
همانطور که گفته شد،  Snap Creek در تاریخ 12 فوریه برای باگ موجود در Duplicator نسخه 1.3.28 و Duplicator Pro نسخه 3.8.7.1 فکر چاره کرد. قویاً به کاربران Duplicator و Duplicator Pro توصیه می‌شود هر چه سریعتر به نسخه‌های 1.3.28 و 3.8.7.1 یا بالاتر ارتقا پیدا کنند. پلاگین‌های آسیب‌پذیر وردپرس هنوز هم گریبان‌گیر وبسایت‌ها هستند. 
اوایل ماه فوریه (بعنوان مثال) نقصی مهم در پلاگین محبوب وردپرس که کمک می‌کند وبسایت‌ها با GDPR تطابق داشته باشند آشکار شد. این نقص می‌توانست کاری کند مهاجمین بتوانند محتوا را دستکاری کرده یا کد جاوااسکریپت آلوده‌ای را به وبسایت‌های قربانی تزریق کنند. این نقص 700 هزار سایت را تحت‌الشعاع قرار داد. خط مقدم هر سازمانی وبسایتش است برای همین می‌تواند هدفی باشد برای مهاجمین؛ چراکه با دسترسی به وبسایت آن‌ها می‌توانند کد آلوده‌ای را برای همه‌ی کسانیکه از وبسایت مورد نظر دیدن می‌کنند نصب کنند. امنیت وبسایت‌ها باید بسیار قوی باشد و مدام برنامه‌ی کنترل آن تغییر کند. سازمان‌هایی که از پلاگین‌ها استفاده می‌کنند باید تمام آپدیت‌ها را اعتبارسنجی کرده و برای کاهش خطر آلوده کردن بازدیدکنندگان، آن‌ها را تست کنند. 
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛