حمله هکرها به ۱.۵ میلیون سایت وردپرسی

هکرها با سوء استفاده از پلاگین رضایت کوکی در وردپرس، به ۱.۵ میلیون سایت وردپرسی حمله کرده‌اند.

به گزارش تکناک، حملات جاری با هدف سوء استفاده از آسیب پذیری Unauthenticated Stored Cross-Site Scripting (XSS) در پلاگین رضایت کوکی وردپرس با نام Beautiful Cookie Consent Banner با بیش از ۴۰ هزار نصب فعال، انجام می‌شود.

در حملات XSS، عوامل تهدید اسکریپت‌های مخرب جاوااسکریپت را به وب‌سایت‌های آسیب‌پذیر تزریق می‌کنند که در مرورگر وب بازدیدکنندگان اجرا می‌شود.

اثرات مخرب این حملات می‌تواند شامل دسترسی غیرمجاز به اطلاعات حساس، ربودن نشست ها، آلوده شدن با بدافزار از طریق هدایت به وب سایت‌های مخرب یا کنترل کامل سیستم هدف باشد.

شرکت امنیتی WordPress Defiant که این حملات را تشخیص داده است، گزارش می‌دهد که آسیب پذیری موردنظر به افراد خارج از سیستم اجازه می‌دهد که در نسخه‌های قبل از پلاگین (تا نسخه ۲.۱۰.۱)، حساب‌های مدیریتی جعلی در وب‌سایت‌های وردپرس ایجاد کنند.

این نقص امنیتی مورد سوء استفاده در این حملات با انتشار نسخه ۲.۱۰.۲ در ژانویه، رفع شده بود.

رام گال، یک تحلیلگر تهدیدات گفت: طبق سوابق ما، آسیب پذیری از تاریخ ۵ فوریه ۲۰۲۳ به صورت فعال هدف قرار گرفته است، اما این بزرگترین حمله علیه آن است که تاکنون دیده‌ایم.

از از 23 می 2023، بیش از 3 میلیون حمله به بیش از 1.5 میلیون سایت صورت گرفته است. تا کنون، ما توانستیم حدود 14 هزار آدرس IP را مسدود کنیم، اما حملات همچنان ادامه دارند.

با وجود ماهیت گسترده این حملات، گال می‌گوید که عامل تهدید از یک exploit با پیکربندی نادرست استفاده می‌کند که در صورت هدف‌گیری از وردپرس با پلاگین آسیب‌پذیر ، به احتمال زیاد payload را اجرا نمی‌کند.

با این وجود، مدیران یا صاحبان وب‌سایت‌هایی که از پلاگین Beautiful Cookie Consent Banner استفاده می‌کنند، توصیه می‌شوند تا آن را به آخرین نسخه بروزرسانی کنند زیرا حتی در صورت عدم موفقیت در حمله، پلاگین قابلیت تغییر پیکربندی ذخیره شده در گزینه nsc_bar_bannersettings_json را دارد.

نسخه‌های پچ شده پلاگین نیز بروزرسانی شده‌اند تا در صورت هدف قرار گرفتن از سایت‌های آسیب دیده از حملات، خود را تعمیر کند.

با این حال، این موج حملات ممکن است نتواند وب‌سایت‌ها را با payload مخرب مورد حمله قرار دهد، اما فردی که پشت این حملات است، هر زمان می‌تواند این مسئله را برطرف و به طور بالقوه هر سایت آسیب‌پذیر را آلوده کند.

هفته گذشته، هکرها همچنین شروع به تست اینترنت برای وب سایت های وردپرسی کردند که نسخه‌های قابل حمل Essential Addons for Elementor و WordPress Advanced Custom Fields را دارند.

این کمپین ها پس از انتشار exploits proof-of-concept (PoC) شروع شدند، که به حمله کنندگان غیر مجاز اجازه می داد تا با بازنشانی رمز عبور مدیر و دسترسی با اولویت بالا به وب سایت ها دسترسی پیدا کنند.