آسیب پذیری خطرناک File Manager وردپرس هزاران وب‌سایت را متأثر می‌کند

محققان حوزه‌ی امنیت سه‌‌شنبه‌ی گذشته اطلاعیه‌ی نگران‌کننده‌ای منتشر کردند. بر اساس ادعای این محققان، هکرها به‌صورت فعالانه درحال بهره‌برداری از آسیب‌پذیری جدیدی هستند که به آن‌ها اجازه می‌دهد دستورها و اسکپریت‌های مخرب را درون وب‌سایت‌هایی که دارای فایل منیجر وردپرس (Wordpress File Manager) وردپرس هستند، اجرا کنند. فایل منیجر یکی از پلاگین‌های وردپرس است که طبق آمار، بیش از ۷۰۰٬۰۰۰ نصب فعال دارد. خبر مربوط به حملات سایبری علیه سایت‌های وردپرس دارای این پلاگین،‌ ساعاتی پس از برطرف شدن مشکل امنیتی موردبحث اعلام شد تا سایت‌ها بیش‌ازپیش موردسوءاستفاده‌ی هکرها قرار نگیرند.

هکرها از نقص امنیتی فایل منیجر وردپرس برای آپلود کردن فایل‌هایی استفاده می‌کنند که حاوی نوعی پوسته‌ی وب (وب‌شل) خاص است؛ محققان می‌گویند این پوسته‌ی وب درون عکس‌ها پنهان می‌شود. از این مرحله به بعد، رابط کاربری راحتی دردسترس هکرها قرار می‌گیرد که به آن‌ها امکان اجرا کردن دستورها مختلف را ازطریق وارد کردن کد می‌دهد؛ هکر این دستورها را در /plugins/wp-file-manager/lib/files اعمال می‌کند. این، همان دایرکتوری‌ای است که فایل منیجر وردپرس در آن قرار دارد.

اگر به فرایند کلی دقت کنید می‌بینید که عملا هکرها نمی‌توانند کدهای مخرب را در جاهایی که خارج از دایرکتوی موردبحث قرار دارند وارد کنند. بااین‌حال آن‌طور که محققان امنیتی می‌گویند هکرها ازلحاظ تئوری می‌توانند با آپلود کردن اسکریپ‌هایی که توانایی اثرگذاری روی دیگر بخش‌های وب‌سایت‌های آسیب‌پذیر را دارند، آسیب‌های بیشتری به سایت وارد کنند.

نین‌تک‌نت (NinTechNet) شرکتی در حوزه‌ی امنیت وب‌سایت‌ها است که در بانکوکِ تایلند واقع شده؛ این شرکت جزو نخستین شرکت‌های امنیتی بود که اعلام کرد حملات سایبری متعددی با استفاده از آسیب‌پذیری جدید وردپرس علیه وب‌سایت‌ها ترتیب داده شده است. نین‌تک‌نت در بیانیه‌ی جدید خود می‌نویسد توانسته هکری را پیدا کند که می‌خواسته با استفاده از آسیب‌پذیری فایل منیجر، اسکپریتی را با عنوان hardfork.php در سایت آپلود کند و سپس از این اسکریپت برای تزریق کدهای مخرب به اسکریپت‌های وردپرس در دایرکتوری /wp-admin/admin-ajax.php و /wp-includes/user.php بهره بگیرد.

جروم برواندت، مدیرعامل نین‌تک‌نت، در ایمیلی که برای رسانه‌ی وایرد ارسال کرده است می‌نویسد فعلا زود است که بخواهیم آثار دقیق این آسیب‌پذیری جدید را مشخص کنیم؛‌ زیرا طبق گفته‌ی او، هنگامی که نین‌تک‌نت متوجه حملات سایبری شده، فهمیده که هکرها مشغول قرار دادن بک‌دور در وب‌سایت‌ها بوده‌اند. او می‌گوید شرکت تحت مدیریتش متوجه شده شماری از هکرها مشغول تزریق برخی کدها بوده‌اند تا بتوانند روی فایل آسیب‌پذیر (connector.minimal.php) رمز عبور بگذارند؛ هدف اصلی هکر این است که با قرار دادن رمز عبور روی فایل آسیب‌پذیر، نگذارد هکرهای دیگر در وب‌سایت‌هایی که پیش‌تر متأثر شده‌اند اقدامات جدید انجام دهند.

تمامی دستورها را می‌توان در فولدر lib/files/ انجام داد (کارهایی مثل ایجاد فولدر جدید، حذف فولدر و...)، بااین‌حال مهم‌ترین مشکل این است که هکر ازلحاظ تئوری می‌تواند اسکریپت‌های PHP را هم در همان فولدر آپلود کند. پس از آپلود اسکریپت، هکر آن را اجرا می‌کند و هر کاری را که بخواهد در وب‌سایت انجام می‌دهد.

بررسی‌ها نشان می‌دهد که هکرها عمدتا مشغول آپلود کردن فایلی با نام FilesMan بوده‌اند؛ از FilesMan به‌عنوان نوع دیگری از ابزار مدیریت فایل یاد می‌شود که اغلب اوقات توسط هکرها مورداستفاده قرار می‌گیرد. اطلاعات بسیار کمی درباره‌ی این ابزار مدیریت فایل وجود دارد. در ساعات و روزهای آینده به جزئیات بیشتری در این زمینه دست پیدا خواهیم کرد؛ زیرا انتظار داریم هکرهایی که فایل‌های آسیب‌پذیر را رمزگذاری کرده‌اند تا هکرهای دیگر امکان دسترسی به آن‌ها را نداشته باشند، به‌زودی مجددا به سایت‌ها سر بزنند.

شرکت امنیتی وردفنس (Wordfence) که همچون نین‌تک‌نت در حوزه‌ی امنیت وب‌سایت فعالیت می‌کند بیانیه‌ی مجزایی منتشر کرده است. این شرکت در بیانیه‌ی خود می‌گوید طی چند روز اخیر بیش از ۴۵۰٬۰۰۰ بار از بهره‌برداری از آسیب‌پذیری جدید توسط هکرها جلوگیری کرده. این بیانیه می‌گوید هکرها در تلاش‌اند فایل‌های متنوعی در سایت‌ها آپلود کنند تا اگر این کار را با موفقیت انجام دادند، بعدا فایل مخرب را هم به سایت تزریق کنند. فایل‌های آپلودشده توسط هکرها دارای نام‌هایی همچون hardfork.php و hardfind.php بوده‌اند. 

تولیدکنندگان فایل منیجر وردپرس رسما اعلام کردند ادعاهای مطرح‌شده از سوی ویله کورهونن، محقق شرکت Seravo که برای نخستین بار آسیب‌پذیری جدید را کشف و آن را گزارش کرد، واقعی است. یکی از محققان امنیتی در توییتر ضمن اشاره‌به «جدی بودن» آسیب‌پذیری جدید وردپرس نوشت که این آسیب‌پذیری به‌سرعت در حال پخش شدن است و صدها وب‌سایت با مشکل مواجه شده‌اند. او گفت فایل‌های مخرب در /wp-content/plugins/wp-file-manager/lib/files آپلود می‌شوند. 

آسیب‌پذیری موردبحث در نسخه‌های ۶٫۰ تا ۶٫۸ فایل منیجر وردپرس وجود دارد. آمار منتشرشده ازسوی وردپرس نشان می‌دهد در حدود ۵۲ درصد از نصب‌های فعال فایل منیجر، آسیب‌پذیر هستند؛ با درنظرگرفتن این حقیقت که تعداد نصب‌های فعال مرز ۷۰۰٬۰۰۰ وب‌سایت را رد کرده، باید بگوییم که وب‌سایت‌های زیادی آسیب‌پذیرند و همین موضوع پتانسیل آسیب رسیدن به شمار درخورتوجهی از وب‌سایت‌ها را بالا می‌برد. تمامی سایت‌هایی که دارای نسخه‌های ۶٫۰ تا ۶٫۸ فایل منیجر هستند باید در سریع‌ترین زمان ممکن به نسخه‌ی ۶٫۹ به‌روزرسانی شوند.

برای کسب جزئیات بیشتر درباره‌ی آسیب‌پذیری جدید وردپرس می‌توانید به گزارش خبرگزاری وایرد مراجعه کنید.