وبسایت‌های فروشگاهی وردپرس تحت حملات شدید سایبری قرار دارند

سه‌شنبه ۲۱ اسفند ۱۳۹۷ - ۱۶:۰۰
مطالعه 4 دقیقه
مجرمان سایبری از یک افزونه‌ی سبد خرید در پلتفرم وردپرس استفاده می‌کنند تا حفره‌ی ورودی به فروشگاه‌های آنلاین پیدا کرده و آن‌ها را در اختیار بگیرند.
تبلیغات

وبسایت‌های فروشگاه‌هایی مبتنی بر وردپرس، توسط گروهی از مجرمان سایبری تحت حملات شدید قرار گرفته‌اند. آن‌ها از آسیب‌پذیری یک افزونه‌ی سبد خرید فروشگاهی استفاده می‌کنند تا راه‌های نفوذی را به وبسایت‌های فروشگاهی باز کنند و درنهایت، کنترل فروشگاه اینترنتی را در دست بگیرند. گزارش شرکت امنیتی Defiant نشان می‌دهد که حملات هم‌اکنون نیز ادامه دارند. آن شرکت، عرضه‌‌کننده‌ی یک افزونه‌ی امنیتی به‌نام Wordefence برای وبسایت‌های وردپرسی است.

گزارش امنیتی می‌گوید که مجرمان سایبری از افزونه‌ی سبد فروشگاهی به‌نام Abandoned Cart Lite for WooCommerce برای نفوذ استفاده می‌کنند. طبق گزارش مخزن رسمی افزونه‌های وردپرس، این افزونه اکنون روی ۲۰ هزار وبسایت وردپرسی فعالیت می‌کند.

آسیب‌پذیری چگونه کار می‌کند؟

آسیب‌پذیری مورد نظر، یکی از معدود نمونه‌هایی است که در آن از روش تقریبا بی‌خطر XSS استفاده می‌شود، اما می‌تواند تأثیرات مخرب قابل‌توجهی داشته باشد. درواقع، حفره‌های امنیتی XSS به‌ندرت برای چنین حمله‌های مرگ‌باری استفاده می‌شوند. حملات کنونی در اثر اشکالات افزونه و نحوه‌ی بهره‌برداری از حفره‌ی امنیتی صورت می‌گیرند که ترکیب آن‌ها، تهدیدات شدیدی را به همراه دارد.

افزونه‌ی فروشگاهی مذکور، به مدیران وبسایت‌ها امکان می‌دهد تا سبدهای خریدی را که توسط کاربران رها شده‌اند، به‌راحتی مشاهده کنند. سبدهایی که خریدار آن‌ها، پیش از نهایی شدن خرید، وبسایت را ترک می‌کند. با استفاده از این افزونه می‌توان محصولات پرطرفدار را به‌صورت بهینه‌تری شناسایی و آن‌ها را به‌صورت بهتری عرضه کرد و به نمایش گذاشت. درنهایت، سبدهای رهاشده تنها در بخش مدیریت سایت و توسط مدیر اصلی یا کاربران دیگر با دسترسی‌های مدیریتی قابل مشاهده خواهد بود.

هک

مایکی وینسترا، محقق شرکت Defiant می‌گوید که هکرها با استفاده از آسیب‌پذیری افزونه، عملیاتی را به‌صورت خودکار در وبسایت‌های وردپرسی مجهز به ووکامرس اجرا می‌کنند. در آن حمله‌ها، سبدهای خریدی در فروشگاه آنلاین ایجاد می‌شود که محصولات آن‌ها، نام‌های غیرمعمول یا اشتباه دارند. آن‌ها کدهای نفوذ را در یکی از ردیف‌های سبد خرید مخفی می‌کنند و از وبسایت خارج می‌شوند. با این روش، کد مخرب قطعا وارد دیتابیس فروشگاه می‌شود.

هکرها یک حساب کاربری با دسترسی مدیر کل ایجاد می‌کنند

پس از آنکه کد مخرب در سبد خرید قرار گرفت، مدیر وبسایت برای بررسی سبدهای رهاشده به افزونه مراجعه می‌کند. سپس کد مخرب به محض باز شدن صفحه‌ای مشخص از پنل مدیریتی، اجرا می‌شود. وینسترا می‌گوید افزونه‌ی امنیتی شرکتش در هفته‌های گذشته چندین تلاش برای نفوذ به وبسایت‌ها با استفاده از این روش را ثبت کرده است.

کدهای مخربی که توسط افزونه‌ی امنیتی شناسایی شدند،‌ یک فایل جاوااسکریپت را از آدرسی در bit.ly بارگذاری می‌کنند. آن فایل، تلاش می‌کند تا ۲ راه نفوذ را برای ورود به سایت‌های آسیب‌پذیر پیاده‌سازی کند. اولین راه نفوذ، یک حساب کاربری با دسترسی مدیر کل به هکرها می‌دهد که نام کاربری آن woouser و ایمیل ثبت‌نامی، woouser401a[at]mailinator.com خواهد بود. گروه امنیتی، گذرواژه‌ی آن کاربر تقلبی را هم گزارش کرده‌اند که K1YPRka7b0av1B است.

مسیر ورودی دوم، بسیار زیرکانه طراحی شد که به‌ندرت در نفوذهای این‌چنینی دیده می‌شود. وینسترا در مصاحبه‌ی خود گفت که در روش دوم، کد مخرب فهرست افزونه‌های وبسایت را بررسی کرده و آن‌هایی که توسط مدیر کل غیرفعال شده‌اند را شناسایی می‌کند. هکرها افزونه‌ی هدف را فعال نمی‌کنند، بلکه محتوای فایل اصلی آن را با اسکریپتی مخرب تعویض می‌کنند که راه نفوذ را برای دسترسی‌های بعدی باز می‌کند. افزونه غیرفعال می‌ماند، اما از آنجایی که فایل‌های آن روی هاست بوده و ازطریق وب ریکوئست‌ها قابل دسترسی هستند، هکرها می‌توانند در صورت بسته شدن راه اول (پاک شدن کاربر woouser) ازطریق آن برای نفوذ اقدام کنند.

hack

لینک bit.ly که برای نفوذ مذکور استفاده می‌شود، تاکنون ۵۲۰۰ مرتبه باز شده است. درنتیجه می‌توان پیش‌بینی کرد که تعداد سایت‌های آلوده به چند هزار عدد رسیده باشد. به‌هرحال، آمار بازدید از آن لینک را نمی‌توان دقیق دانست. وینسترا در مصاحبه‌ی خود درباره‌ی لینک می‌گوید:

آمارهای Bit.ly می‌توانند گمراه‌کننده باشند، چرا که یک وبسایت آلوده می‌تواند چندین بار درخواست به آن لینک را تکرار کند. به‌عنوان مثال اگر کدهای XSS در داشبورد مدیریتی افزونه باقی بمانند و مدیر چند بار آن را بررسی کند، درخواست به لینک مذکور تکرار می‌شود.به‌علاوه، نمی‌توان تخمین زد که چند حمله‌ی XSS موفق انجام شده و منتظر مدیر ارشد هستند تا صفحه‌ی مورد نظر را برای اولین‌بار باز کند.

جمله‌ی آخر وینسترا نشان می‌دهد که احتمالا وبسایت‌های زیادی تحت حمله قرار گرفته‌اند، اما هنوز راه ورود به آن‌ها نهایی نیست. درنتیحه، لینک Bit.ly ازطریق آن‌ها باز نشده است. به‌هرحال، وینسترا و همکارانش هنوز دلیل و هدف اصلی مجرمان سایبری از نفوذ به آن همه وبسایت‌های وردپرسی را متوجه نشده‌اند. چرا که افزونه‌ی امنیتی آن‌ها، همه‌ی مشتریان را دربرابر نفوذ مذکور حفظ کرده است. درنهایت، شاید بتوان اهدافی همچون ارسال اسپم برای سئیا اجرای کدهای مخرب دزدیدن اطلاعات بانکی را دلیل نفوذهای اخیر دانست.

به‌هرحال تیم مدیریتی افزونه‌ی Abandoned Cart Lite for WooCommerce در جدیدترین نسخه‌ی خود پچ امنیتی برای مقابله با حمله‌های XSS را عرضه کرده‌اند. وبسایت‌های وردپرسی مجهز به ووکامرس که از آن افزونه استفاده می‌کنند، باید هسته‌ی وبسایت و افزونه‌های خود را به‌روزرسانی کرده و هرگونه فعالیت مشکوک در پنل مدیریت را نیز بررسی کنند. نام کاربری woouser یا هر مورد مشابه و مشکوک، مرحله‌ی اول در آن بررسی خواهد بود.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات