تسببت البرامج الضارة التي تستغل نقاط الضعف غير المصححة في 30 مكونًا إضافيًا من WordPress في إصابة مئات إن لم يكن الآلاف من المواقع وربما كانت قيد الاستخدام النشط لسنوات ، وفقًا لما ورد في تقرير نشر الأسبوع الماضي.
قال باحثون من شركة د. ويب الأمنية ، إن البرمجيات الخبيثة المستندة إلى نظام لينوكس تقوم بتثبيت باب خلفي يتسبب في قيام المواقع المصابة بإعادة توجيه الزائرين إلى مواقع ضارة. كما أنه قادر على تعطيل تسجيل الأحداث ، والانتقال إلى وضع الاستعداد ، وإغلاق نفسه. يتم تثبيته من خلال استغلال الثغرات الأمنية التي تم تصحيحها بالفعل في المكونات الإضافية التي يستخدمها مالكو مواقع الويب لإضافة وظائف مثل الدردشة الحية أو إعداد تقارير المقاييس إلى نظام إدارة محتوى WordPress الأساسي.
كتب باحثو ويب: “إذا كانت المواقع تستخدم إصدارات قديمة من هذه الوظائف الإضافية ، تفتقر إلى الإصلاحات الحاسمة ، فإن صفحات الويب المستهدفة تُحقن بجافا سكريبت ضارة”. “نتيجة لذلك ، عندما ينقر المستخدمون على أي منطقة في صفحة تعرضت للهجوم ، يتم إعادة توجيههم إلى مواقع أخرى.”
تشير عمليات البحث مثل هذا البحث إلى أن أكثر من 1300 موقع تحتوي على JavaScript الذي يدعم الباب الخلفي. من المحتمل أن تكون بعض هذه المواقع قد أزلت الشفرة الضارة منذ الفحص الأخير. ومع ذلك ، فإنه يوفر مؤشرا على مدى وصول البرامج الضارة.
تشمل المكونات الإضافية المستغلة ما يلي:
- WP Live Chat Support Plugin
- ووردبريس – الوظائف ذات الصلة يوزو
- الأصفر قلم رصاص مرئي مخصص البرنامج المساعد
- easysmtp
- المكون الإضافي WP الامتثال للقانون العام لحماية البيانات (GDPR)
- موضوع الصحيفة على التحكم في الوصول إلى WordPress (الضعف CVE-2016-10972)
- جوهر الموضوع
- جوجل كود Inserter
- إجمالي التبرعات البرنامج المساعد
- نشر قوالب مخصصة لايت
- WP Quick Booking Manager
- Facebook Live Chat by Zotabox
- البرنامج المساعد WordPress مصمم المدونة
- الأسئلة الشائعة حول WordPress Ultimate (نقاط الضعف CVE-2019-17232 و CVE-2019-17233)
- تكامل WP-Matomo (WP-Piwik)
- أكواد WordPress ND المختصرة للملحن المرئي
- WP Live Chat
- قريبا الصفحة ووضع الصيانة
- هجين
- البرنامج المساعد بريزي وورد
- FV Flowplayer مشغل فيديو
- كتب مريم الدخيل لاكاديمية الثراء
- ووردبريس قريبا الصفحة
- وورد موضوع OneTone
- البرنامج المساعد WordPress الحقول البسيطة
- WordPress Delucks SEO plugin
- صانع الاستطلاع والاستطلاع والنموذج والاختبار بواسطة OpinionStage
- متتبع المقاييس الاجتماعية
- WPeMatico RSS Feed Fetcher
- المكوّن الإضافي Rich Reviews
وأوضحت كتابة Dr. Web أنه “إذا تم استغلال واحدة أو أكثر من نقاط الضعف بنجاح ، فسيتم حقن الصفحة المستهدفة بجافا سكريبت ضار يتم تنزيله من خادم بعيد”. وبذلك ، يتم الحقن بطريقة يتم فيها بدء تشغيل JavaScript أولاً عند تحميل الصفحة المصابة – بغض النظر عن المحتويات الأصلية للصفحة. في هذه المرحلة ، عندما ينقر المستخدمون في أي مكان على الصفحة المصابة ، سيتم نقلهم إلى موقع الويب الذي يحتاج المهاجمون إلى المستخدمين للذهاب إليه “.
يحتوي JavaScript على روابط لمجموعة متنوعة من المجالات الضارة ، بما في ذلك:
رغبات اللوبي[.]كوم
يتيح لك الحفلة 3[.]الجا
استراتيجيات التسليم[.]كوم
gabriellalovecats[.]كوم
المغلق[.]هضمكولكت[.]كوم
استنساخ[.]جمع Fasttracks[.]كوم
عدد[.]إحصائيات المسار[.]كوم
توضح لقطة الشاشة أدناه كيفية ظهور JavaScript في الصفحة المصدر للموقع المصاب:
وجد الباحثون نسختين من الباب الخلفي: Linux.BackDoor.WordPressExploit.1 و Linux.BackDoor.WordPressExploit.2. قالوا إن البرمجيات الخبيثة ربما كانت قيد الاستخدام لمدة ثلاث سنوات.
لطالما كانت مكونات WordPress الإضافية وسيلة شائعة لإصابة المواقع. في حين أن أمان التطبيق الرئيسي قوي إلى حد ما ، فإن العديد من المكونات الإضافية مليئة بالثغرات الأمنية التي يمكن أن تؤدي إلى الإصابة. يستخدم المجرمون المواقع المصابة لإعادة توجيه الزائرين إلى المواقع المستخدمة في التصيد الاحتيالي والاحتيال الإعلاني وتوزيع البرامج الضارة.
يجب أن يتأكد الأشخاص الذين يشغلون مواقع WordPress من أنهم يستخدمون أحدث الإصدارات من البرنامج الرئيسي بالإضافة إلى أي مكونات إضافية. يجب عليهم إعطاء الأولوية لتحديث أي من المكونات الإضافية المذكورة أعلاه.