افزونه Ultimate Member وردپرس، راه مخفی هکرها
در این مقاله میخوانید
حدود ۲۰۰ هزار وب سایت وردپرسی، بهخاطر شکافهای امنیتی موجود در افزونه Ultimate Member در معرض خطر حمله هکرها قرار دارند. این شکاف که با نام CVE-2023-3460 شناخته میشود (امتیاز CVSS برابر با ۹.۸ است) بر روی تمام نسخههای افزونه Ultimate Member، از جمله آخرین نسخه (2.6.6) که در 29 ژوئن 2023 منتشر شد، تأثیر میگذارد.
افزونه Ultimate Member، یک افزونه محبوب است که ساختن پروفایلهای کاربران و انجمنها را در سایتهای وردپرس راحت میکند. همچنین امکانات مدیریت حساب را فراهم میکند.
شرکت امنیتی WPScan در رابطه با این شکاف امنیتی هشدار داد و در بیانیهای اعلام کرد: «این یک مسئله بسیار جدی است؛ هکرهای ناشناس ممکن است از این آسیبپذیری استفاده کنند تا حسابهای کاربری جدیدی را با امتیاز مدیریتی ایجاد و از طریق آنها سو استفاده کنند و بتوانند بهطور کامل مدیریت وبسایتهای آسیبدیده را در دست بگیرند.»
اگرچه بهخاطر سوء استفاده هکرها از جزئیات مربوط به این شکاف صحبتی نشده است، اما چیزی که مشخص است این است که این اتفاق به دلیل وجود یک نقص در قوانین فهرست بلاک برای تغییر سطح دسترسی کاربر جدید به مدیریت سایت ناشی میشود. موضوعی که به هکرها اجازه میدهد بهطور کامل مدیریت سایت را به دست بگیرند.
Chloe Chamberland، محقق شرکت Wordfence، گفت: «در حالی که افزونه Ultimate Member دارای یک لیست از پیش تنظیم شده از کلیدهای ممنوعه است، که کاربران نباید قادر به بهروز رسانی آن باشند، با این حال، راههای آسانی برای دور زدن فیلترهای موجود وجود دارد؛ مانند استفاده از حروف بزرگ و کوچک، خطوط شکسته و رمزگذاری کاراکتر در مقدار کلید متا در نسخههای آسیبپذیر این افزونه.
این مشکل پس از انتشار گزارشهایی مبنی بر اضافه شدن حسابهای مدیریتی مخرب به سایتهای آسیبدیده آشکار شد و مسئولان پشتیبانی افزونه مجبور شدند تا اصلاحاتی را در نسخههای 2.6.4، 2.6.5 و 2.6.6 اعمال کنند. انتظار میرود در روزهای آینده نیز آپدیت جدیدی منتشر شود. Ultimate Member در یادداشتهای خود گفت: «هکرها از طریق فرمهای UM توانستهاند سطح دسترسی کاربران وردپرس را از کاربر عادی به مدیر وب سایت تغییر دهند.»
علاوهبراین، WPScan اشاره کرد که روشهای متعددی برای دور زدن حصارهای امنیتی این افزونه وجود دارد. این بدان معنی است که این مشکل هنوز بهطور مستمر وجود دارد. در حملات مشاهده شده، از این شکاف برای ثبت حسابهای جدید به نامهای apadmins، se_brutal، segs_brutal، wpadmins، wpengine_backup و wpenginer برای آپلود افزونهها و تمهای مخرب از طریق پنل مدیریت سایت استفاده میشود.
به کاربران Ultimate Member توصیه میشود تا زمانی که به یک پچ مناسب که حفره امنیتی را بهطور کامل برطرف نکرده دسترسی پیدا نکردهاند، افزونه Ultimate Member را غیرفعال کنند. همچنین توصیه میشود همه کاربران پنل مدیریتی وب سایت خود را بررسی کنند در وبسایتها را بررسی کنید تا مشخص شود آیا حسابهای غیرمجاز اضافه شدهاند یا خیر.
نسخه 2.6.7 Ultimate Member منتشر شد!
نویسندگان Ultimate Member نسخه 2.6.7 این افزونه را در تاریخ 1 ژوئیه منتشر کردهاند تا شکافی که راه را برای حمله هکرها باز میگذاشت برطرف کنند. بهعنوان یک اقدام امنیتی دیگر، آنها همچنین قصد دارند یک ویژگی جدید را در این افزونه قرار دهند تا مدیران وب سایت بتوانند رمزهای عبور را برای همه کاربران تنظیم کنند.
مدیران وردپرس در یک جلسه خصوصی گفتند: «در نسخه 2.6.7، استراتژی Whitelisting برای حفظ امنیت کلیدهای متایی که در حین ارسال فرمها ذخیره میکنیم، معرفی شده است. همچنین در این نسخه، دادههای مربوط به تنظیمات فرم و ارسالی از یکدیگر جدا شدهاند و در دو متغیر مختلف اجرا میشوند.»