نوع جدیدی از بدافزار مبتنی بر لینوکس توانایی سوء استفاده از نقص بیش از 30 افزونه و تم وردپرس را دارد.
نوع ناشناخته بدافزار پشتی لینوکس می تواند از بیش از 30 افزونه و تم وردپرس برای تزریق کد مضر جاوا اسکریپت و تغییر مسیر کاربران سوء استفاده کند.
پلاگین ها و تم های متعدد وردپرس در برابر نوع جدیدی از بدافزار آسیب پذیر هستند
نوع جدیدی از بدافزار که سیستم های لینوکس 32 و 64 بیتی را هدف قرار می دهد برای حمله به سایت های وردپرس استفاده می شود. پلاگین ها و مضامینی که در این حملات هدف قرار می گیرند قدیمی هستند و دارای آسیب پذیری هایی هستند که مجرمان سایبری می توانند از آنها برای سوء استفاده از سایت ها استفاده کنند.
در یک پست Dr.Web که در 30 دسامبر 2022 منتشر شد، بیان شد که “اگر سایتها از نسخههای قدیمی این افزونهها استفاده میکنند، بدون اصلاحات اساسی، صفحات وب هدف با جاوا اسکریپتهای مخرب تزریق میشوند.” این امر باعث می شود تا کاربران در هنگام تلاش برای دسترسی به صفحه وردپرس مورد سوء استفاده به سایت های دیگر هدایت شوند. سایت مقصد توسط مهاجم انتخاب میشود و ممکن است برای فیشینگ، انتشار بدافزار یا سایر سرمایهگذاریهای مضر استفاده شود.
Dr.Web بدافزار را “Linux.BackDoor.WordPressExploit.1” نامگذاری کرد. می توان آن را از راه دور توسط عوامل مخرب اداره کرد و خود جاوا اسکریپت مضر از سرورهای راه دور می آید.
نسخه به روز شده بدافزار اصلی نیز توسط Dr.Web با نام Linux.BackDoor.WordPressExploit.2 شناسایی شد.
پلاگین ها و تم های متعدد وردپرس در معرض خطر هستند
در پست فوق الذکر Dr.Web پلاگین های مورد نظر ذکر شده است که در زیر قابل مشاهده است.
- افزونه پشتیبانی WP Live Chat
- وردپرس – پست های مرتبط با Yuzo
- پلاگین سفارشی ساز تم بصری مداد زرد
- Easysmtp
- افزونه WP GDPR Compliance
- تم روزنامه در کنترل دسترسی وردپرس (آسیب پذیری CVE-2016-10972)
- تیم هسته
- درج کننده کد گوگل
- افزونه Total Donations
- ارسال قالب های سفارشی Lite
- مدیر رزرو سریع WP
- چت زنده فیس بوک توسط Zotabox
- افزونه وردپرس طراح وبلاگ
- پرسشهای متداول وردپرس نهایی (آسیبپذیریهای CVE-2019-17232 و CVE-2019-17233)
- ادغام WP-Matomo (WP-Piwik)
- کدهای کوتاه وردپرس ND برای ویژوال کامپوزر
- چت زنده WP
- به زودی صفحه و حالت نگهداری
- ترکیبی
نسخه به روز شده این بدافزار، Linux.BackDoor.WordPressExploit.2، می تواند از آسیب پذیری های اضافی در افزونه های زیر سوء استفاده کند.
- افزونه Brizy WordPress
- FV Flowplayer Video Player
- ووکامرس
- وردپرس به زودی صفحه
- قالب وردپرس OneTone
- افزونه وردپرس Simple Fields
- افزونه وردپرس Delucks SEO
- نظرسنجی، نظرسنجی، فرم و آزمون ساز توسط Opinion Stage
- ردیاب معیارهای اجتماعی
- WPeMatico RSS Feed Fedcher
- بررسی های غنی
Dr.Web همچنین در پست خود در مورد این موضوع اعلام کرد که هر یک از این انواع دارای “عملکردی اجرا نشده برای هک کردن حساب های مدیر وب سایت های هدف از طریق حمله brute-force با استفاده از لاگین ها و رمزهای عبور شناخته شده و با استفاده از واژگان خاص است.” علاوه بر این، حتی پلاگینهایی با آسیبپذیریهای وصلهشده نیز میتوانند با موفقیت مورد سوء استفاده قرار گیرند، در صورتی که این ویژگی در نسخههای بعدی این بدافزار backdoor پیادهسازی شود.
وردپرس با حملات سایبری بیگانه نیست
وردپرس در گذشته بارها قربانی حملات سایبری شده است، خواه از طریق حملات brute-force، تزریق SQL، بدافزار یا نوع دیگری از تاکتیک های غیرقانونی باشد. در واقع، سالانه میلیون ها وب سایت وردپرس مورد حمله قرار می گیرند.
در گزارش وب سایت هک شده Sucuri در سال 2018 مشخص شد که 90 درصد از تمام وب سایت های مورد حمله در همان سال از وردپرس استفاده می کردند. دیگر پلتفرم های CMS محبوب، مانند جوملا! و مگنیتو، حتی به مرز 5 درصد هم نرسیدند.
استفاده از پلاگین های قدیمی می تواند خطراتی را ایجاد کند
در حالی که برخی از پلاگین های قدیمی می توانند مفید باشند، اما خطر امنیتی نیز دارند، زیرا نرم افزار آنها به طور منظم به روز نمی شود. اطمینان حاصل کنید که بررسی می کنید که آیا از هر یک از افزونه های ذکر شده در سایت وردپرس خود استفاده می کنید تا تعیین کنید که آیا احتمال هدف قرار گرفتن توسط این بدافزار جدید را دارید یا خیر.