هکرها از نقص امنیتی موجود در افزونه کش لایت اسپید وردپرس سوءاستفاده میکنند تا بهطور خودکار حسابهای ادمین وردپرس ایجاد کنند.
بهگزارش تکناک، هکرها با سوءاستفاده از رخنه موجود در نسخه قدیمی افزونه کش لایت اسپید، در حال هدف قراردادن وبسایتهای وردپرسی هستند تا حسابهای کاربری ادمین ایجاد کنند و کنترل وبسایتها را بهدست بگیرند. کش لایت اسپید (LS Cache) افزونه کش شناختهشدهای است که در بیش از ۵ میلیون وبسایت وردپرسی استفاده میشود. این افزونه به افزایش سرعت بارگذاری صفحات و بهبود تجربه کاربری و ارتقای رتبه وبسایت در نتایج جستوجوی گوگل کمک میکند.
بهنقل از بلیپینگکامپیوتر، تیم امنیتی WPScan در ماه آوریل فعالیت فزاینده بازیگران مخرب را مشاهده کرد که وبسایتهای وردپرسی را با نسخههای قدیمیتر از 5.7.0.1 افزونه کش لایت اسپید اسکن میکنند و امنیت آنها را بهخطر میاندازند. این نسخهها دربرابر نقص امنیتی شدید از نوع «تزریق اسکریپت بینسایتی» (XSS) بدون نیاز به احراز هویت آسیبپذیر هستند. این نقص با شناسه CVE-2023-40000 شناخته میشود.
برای نشاندادن وخامت اوضاع باید بگوییم که تنها از یک آدرس IP، یعنی 94.102.51.144، بیش از 1/2 میلیون درخواست بررسی برای یافتن وبسایتهای آسیبپذیر ارسال شده است. WPScan گزارش میدهد که حملات از کد جاوااسکریپت مخربی استفاده میکنند که به فایلهای مهم وردپرس یا پایگاه داده تزریق میشود.
این کد مخرب حسابهای کاربری ادمین با نامهای «wpsupp-user» یا «wp-configuser» ایجاد میکند. یکی دیگر از نشانههای آلودگی، وجود عبارت «eval(atob(Strings.fromCharCode» در گزینه «litespeed.admin_display.messages» در پایگاه داده است.
تعدادی از کاربران افزونه لایت اسپید به نسخههای جدیدتر مهاجرت کردهاند که تحتتأثیر CVE-2023-40000 نیستند؛ اما تعداد زیادی (تقریباً ۱,۸۳۵,۰۰۰ کاربر) نیز همچنان از نسخه آسیبپذیر استفاده میکنند.
ایجاد حسابهای ادمین در وبسایتهای وردپرسی به مهاجمان امکان کنترل کامل بر آنها را میدهد و به آنان کمک میکند تا محتوا را تغییر دهند، افزونهها را نصب کنند، تنظیمات مهم را تغییر دهند، ترافیک را به وبسایتهای ناامن هدایت کنند، بدافزار و فیشینگ منتشر کنند یا دادههای کاربری موجود را بدزدند.
در ابتدای هفته، Wallarm گزارشی از کمپین دیگری منتشر کرد که افزونه وردپرس به نام «Email Subscribers» را هدف قرار میدهد تا حسابهای مدیر ایجاد کند. هکرها از نقص تزریق SQL بحرانی با شناسه CVE-2024-2876 برای سوءاستفاده از افزونه Email Subscribers وردپرس استفاده میکنند. این نقص امنیتی با امتیاز شدت ۹/۸ از ۱۰، نسخههای ۵.۷.۱۴ و قدیمیتر این افزونه را تحتتأثیر قرار میدهد.
با اینکه Email Subscribers با داشتن ۹۰ هزار نصب فعال بهمراتب از لایت اسپید کش محبوبیت کمتری دارد، حملات مشاهدهشده نشان میدهند که هکرها از هیچ فرصتی برای نفوذ چشمپوشی نمیکنند.
برای جلوگیری از هرگونه مشکل احتمالی، به ادمینهای وبسایتهای وردپرس توصیه میشود تا افزونهها را به جدیدترین نسخه بهروزرسانی کنند و افزونههای بلااستفاده و اضافه را حذف یا غیرفعال کنند و درقبال ایجاد حسابهای مدیر جدید هوشیار باشند.
ناگفته نماند که درصورت تأیید نفوذ، پاکسازی کامل وبسایت الزامی است. این فرایند شامل حذف تمام حسابهای جعلی، بازنشانی رمزعبور برای همه حسابهای موجود، بازیابی پایگاه داده و فایلهای وبسایت از نسخه پشتیبان سالم است.