افزونه Ultimate Member وردپرس، راه مخفی هکرها

سوءاستفاده هکرها از نقطه ضعف افزونه وردپرس
Avatar
نویسنده: دارا رستگار
یکشنبه 11 تیر 1402
مطالعه: ۳ دقیقه ۰ نظر ۲۴۳ بازدید

در این مقاله میخوانید

حدود ۲۰۰ هزار وب سایت وردپرسی، به‌خاطر شکاف‌های امنیتی موجود در افزونه Ultimate Member در معرض خطر حمله هکرها قرار دارند. این شکاف که با نام CVE-2023-3460 شناخته می‌شود (امتیاز CVSS برابر با ۹.۸ است) بر روی تمام نسخه‌های افزونه Ultimate Member، از جمله آخرین نسخه (2.6.6) که در 29 ژوئن 2023 منتشر شد، تأثیر می‌گذارد.

افزونه Ultimate Member، یک افزونه محبوب است که ساختن پروفایل‌های کاربران و انجمن‌ها را در سایت‌های وردپرس راحت می‌کند. همچنین امکانات مدیریت حساب را فراهم می‌کند.

شرکت امنیتی WPScan در رابطه با این شکاف امنیتی هشدار داد و در بیانیه‌ای اعلام کرد: «این یک مسئله بسیار جدی است؛ هکرهای ناشناس ممکن است از این آسیب‌پذیری استفاده کنند تا حساب‌های کاربری جدیدی را با امتیاز مدیریتی ایجاد و از طریق آن‌ها سو استفاده کنند و بتوانند به‌طور کامل مدیریت وبسایت‌های آسیب‌دیده را در دست بگیرند.»

اگرچه به‌خاطر سوء استفاده هکرها از جزئیات مربوط به این شکاف صحبتی نشده است، اما چیزی که مشخص است این است که این اتفاق به دلیل وجود یک نقص در قوانین فهرست بلاک برای تغییر سطح دسترسی کاربر جدید به مدیریت سایت ناشی می‌شود. موضوعی که به هکرها اجازه می‌دهد به‌طور کامل مدیریت سایت را به دست بگیرند.

Chloe Chamberland، محقق شرکت Wordfence، گفت: «در حالی که افزونه Ultimate Member دارای یک لیست از پیش تنظیم شده از کلیدهای ممنوعه است، که کاربران نباید قادر به به‌روز رسانی آن باشند، با‌ این‌ حال، راه‌های آسانی برای دور زدن فیلترهای موجود وجود دارد؛ مانند استفاده از حروف بزرگ و کوچک، خطوط شکسته و رمزگذاری کاراکتر در مقدار کلید متا در نسخه‌های آسیب‌پذیر این افزونه.

این مشکل پس از انتشار گزارش‌هایی مبنی بر اضافه شدن حساب‌های مدیریتی مخرب به سایت‌های آسیب‌دیده آشکار شد و مسئولان پشتیبانی افزونه مجبور شدند تا اصلاحاتی را در نسخه‌های 2.6.4، 2.6.5 و 2.6.6 اعمال کنند. انتظار می‌رود در روزهای آینده نیز آپدیت جدیدی منتشر شود. Ultimate Member در یادداشت‌های خود گفت: «هکرها از طریق فرم‌های UM توانسته‌اند سطح دسترسی کاربران وردپرس را از کاربر عادی به مدیر وب سایت تغییر دهند.»

علاوه‌براین، WPScan اشاره کرد که روش‌های متعددی برای دور زدن حصارهای امنیتی این افزونه وجود دارد. این بدان معنی است که این مشکل هنوز به‌طور مستمر وجود دارد. در حملات مشاهده شده، از این شکاف برای ثبت حساب‌های جدید به نام‌های apadmins، se_brutal، segs_brutal، wpadmins، wpengine‌_backup و wpenginer برای آپلود افزونه‌ها و تم‌های مخرب از طریق پنل مدیریت سایت استفاده می‌شود.

به کاربران Ultimate Member توصیه می‌شود تا زمانی که به یک پچ مناسب که حفره امنیتی را به‌طور کامل برطرف نکرده دسترسی پیدا نکرده‌اند، افزونه Ultimate Member را غیرفعال کنند. همچنین توصیه می‌شود همه کاربران پنل مدیریتی وب سایت خود را بررسی کنند در وب‌سایت‌ها را بررسی کنید تا مشخص شود آیا حساب‌های غیرمجاز اضافه شده‌اند یا خیر.

نسخه 2.6.7 Ultimate Member منتشر شد!

نویسندگان Ultimate Member نسخه 2.6.7 این افزونه را در تاریخ 1 ژوئیه منتشر کرده‌اند تا شکافی که راه را برای حمله هکرها باز می‌گذاشت برطرف کنند. به‌عنوان یک اقدام امنیتی دیگر، آن‌ها همچنین قصد دارند یک ویژگی جدید را در این افزونه قرار دهند تا مدیران وب سایت بتوانند رمزهای عبور را برای همه کاربران تنظیم کنند.

مدیران وردپرس در یک جلسه خصوصی گفتند: «در نسخه 2.6.7، استراتژی Whitelisting برای حفظ امنیت کلیدهای متایی که در حین ارسال فرم‌ها ذخیره می‌کنیم، معرفی شده است. همچنین در این نسخه، داده‌های مربوط به تنظیمات فرم و ارسالی از یکدیگر جدا شده‌اند و در دو متغیر مختلف اجرا می‌شوند.»

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


ارسال دیدگاه در وبلاگ پارس‌پک را مطالعه کرده و آن‌ها را می‌پذیرم.

مقالات مرتبط این مطلب را از دست ندهید

با خدمات ابری پارس پک آشنا شوید

اولین ارائه‌دهنده خدمات رایانش ابری در ایران هستیم