باگ پلاگین وردپرس All in One SEO سه میلیون وبسایت را با سرقت شناسه تهدید میکند
یک آسیبپذیری بهرهبرداری از باگهای حیاتی میتواند باعث ایجاد درهای پشتی برای دسترسی ادمین در سرورهای وب شود
یک پلاگین معروف بهینهسازی سئوی وردپرس به نام All in One SEO وقتی در یک زنجیره بهرهبرداری قرار میگیرد یک جفت (pair) آسیبپذیری امنیتی بوجود میآورد که میتواند مالکین وبسایتها را در معرض خطر سرقت سایت قرار دهد. این پلاگین در بیش از 3 میلیون وبسایت استفاده شده است.
یک حملهکننده که در سایت حساب کاربری دارد – مثلا یک مشترک، یا دارنده حساب خرید – میتواند از چالههایی بهرهمند شود که طبق تحقیقات انجام شده در Sucuri نوعی بهرهبرداری از باگ و SQL Injection هستند.
محققین در Wednsday بیان کردند که «وبسایتهای وردپرس بصورت پیشفرض به همه کاربران وب اجازه میدهند حساب کاربری ایجاد کنند. حسابهای جدید بصورت پیشفرض از رتبه مشترکی برخوردار هستند و هیچ قابلیتی جز نوشتن کامنت به آنها اختصاص داده نمیشود. اما برخی آسیبپذیریهای مشخص نظیر آسیبپذیریهای که اخیرا کشف شده است به این مشترکین اجازه میدهند اولویتهای بیشتری نسبت به اولویتهای مجاز بدست بیاورند».
طبق گفتۀ Sucuri این زوج به اندازه کافی برای بهرهبرادری آسان رشد کرده است، لذا کاربران باید نسخه خود را به نسخه پچ شدۀ v. 4.1.5.3 Marc Montpas ارتقا دهند. این نسخه توسط یک محقق امنیتی با یافتن باگها اعتباربخشی شد.
تعدیل اولویت و SQL Injection
از بین این دو باگ، مشکل تعدیل اولویت مهمتر است. این مشکل بر نسخههای 4.0.0 و 4.1.5.2 ی All in One SEO تاثیر میگذارد. در مقیاس شدت- آسیبپذیری CVSS امتیاز 9.9 از 10 به آن تعلق گرفته است، زیرا بهرهبرداری بسیار آسان است و میتوان برای مقرر نمودن در پشتی در وبسرور از آن استفاده کرد.
محققین در Sucuri بیان کردهاند که صرفا با تغییر حرف کوچک یک کاراکتر درخواست به حرف بزرگ میتوان از این آسیبپذیری بهره برد.
اساسا این پلاگین دستورات را به نقاط انتهایی مختلف REST API میفرستد و یک بررسی مجوزات انجام میدهد تا مطمئن شود کسی کار غیرمجازی انجام ندهد. اما مسیرهای REST API حساس به حالت حرف هستند، لذا کافیست حملهکننده کوچک یا بزرگ بودن یک کاراکتر را تغییر دهد تا از بررسیهای احراز هویت عبور کند.
محققین Sucuri میگویند «این آسیبپذیری وقتی استفاده شود میتواند فایلهای بخصوصی را در ساختار فایل وردپرس رونویسی کند، و دسترسی در پشتی برای هر حملهکنندهای فراهم شود. این امکان سرقت وبسایت را فراهم میسازد و میتواند اولویتهای حسابهای مشترک را به ادمین ارتقا دهد».
باگ دوم یک هسته پرشدت CVSS از 7.7 را حمل می کند و بر نسخههای 4.1.3.1 و 4.1.5.2 تاثیر میگذارد.
بطور ویژه، این مشکل در یک نقطه انتهایی API به نام «/wp-json/aioseo/v1/objects» واقع است. اگر طبق گفته Sucuri، حملهکنندگان از آسیبپذیری قبلی برای ارتقای امتیازات خود به سطح ادمین استفاده کنند، قابلیت دسترسی به نقطه انتهایی را بدست خواهند آورد و در نتیجه میتوانند دستورات مخرب SQL را به پایگاهداده پشتی ارسال کنند و اعتبارنامههای کاربر، اطلاعات ادمین و دادههای مهم دیگر را بازیابی نمایند.
طبق گفته محققین، کاربران All in One SEO برای ایمنی خود لازم است نسخه خود را به نسخه پچ شده ارتقا دهند. گامهای دفاعی دیگر عبارتند از:
- بازیابی کاربران مدیر (ادمین) در سیستم و حذف کاربران مشکوک؛
- تغییر همه گذرواژههای حساب مدیر؛ و
- افزودن سختگیریهای بیشتر به پنل مدیر.
بهشت پلاگین برای هکرهای وبسایت
محققین میگویند پلاگینهای وردپرس هنوز برای مهاجمان سایبری به عنوان یک زمینه و مسیر جذاب تلقی میشوند. به عنوان مثال در ماه دسامبر یک حمله فعال علیه بیش از 1.6 میلیون سایت وردپرس انجام شد. محققین دهها میلیون تلاش برای بهرهوری از پلاگینهای مختلف و چند چهارچوب اپسیلون ثبت کردهاند.
یوریل مایمون مدیر اجرایی پیشین فناوریهای نوظهور در شرکت PerimeterX در یک ایمیل گفته است «پلاگینهای وردپرس هنوز خطری جدی برای همه کاربردهای وب تلقی میشوند و لذا یک هدف رایج برای حملهکنندگان خواهند بود. کد سایه از طریق پلاگینهای شخص ثالث معرفی شد و چهارچوبها بطور گسترده سطح حمله را برای وبسایتها توسعه میدهند».
وقتی باگها جدید پدیدار می شوند، وضعیت خطرناک میشود. به عنوان مثال اوایل ماه جاری پلاگین «Variation Swatches for WooCommerce» که در 80،000 خرده فروشی دارای وردپرس نصب شده بود حاوی یک آسیب پذیری امنیتی ذخیره شده بین سایت اسکریپت (XSS) بود که به مهاجمین سایبری اجازه میداد اسکریپتهای مخرب را تزریق کنند و کنترل سایتها را بدست بگیرند.
طبق گفته محققین در ماه اکتبر دو آسیبپذیری قوی در Post Grid، یک پلاگین وردپرس با بیش از 60،000 نصب، راه را برای سارقان شناسه سایت باز کرده بود. باگهای نسبتاً مشابهی در پلاگین همتای Post Grid، یعنی Team Showcase یافت شد که دارای 6،000 نصب است.
در همین ماه اکتبر، یک باگ پلاگین وردپرس در پیشنهاد واردکننده دموی Hashthemes کشف شد، که به کاربران دارای مجوزهای ساده اجازه میداد سایتهایی با هر محتوایی را از بین ببرند.
مایمون گفته است «دارندگان وبسایتها باید در مورد پلاگینها و چهارچوبهای شخص ثالث مراقب باشند و بروزرسانیهای امنیتی انجام دهند. آنها باید با استفاده از دیوارهای آتش برنامههای وب وبسایتهای خود را ایمن سازند. همچنین، از راهکارهای قابلیت رویت سمت کلاینت استفاده کنند که وجود کد بدخواه را در سایت تشخیص میدهد».