سوءاستفاده هکرها از نقص افزونه کش لایت اسپید وردپرس

هکرها از نقص امنیتی موجود در افزونه کش لایت اسپید وردپرس سوء‌استفاده می‌کنند تا به‌طور خودکار حساب‌های ادمین وردپرس ایجاد کنند.

به‌گزارش تک‌ناک، هکرها با سوءاستفاده از رخنه موجود در نسخه قدیمی افزونه کش لایت اسپید، در حال هدف قرار‌دادن وب‌سایت‌های وردپرسی هستند تا حساب‌های کاربری ادمین ایجاد کنند و کنترل وب‌سایت‌ها را به‌دست بگیرند. کش لایت اسپید (LS Cache) افزونه کش شناخته‌شده‌ای است که در بیش از ۵ میلیون وب‌سایت وردپرسی استفاده می‌شود. این افزونه به افزایش سرعت بارگذاری صفحات و بهبود تجربه کاربری و ارتقای رتبه وب‌سایت در نتایج جست‌وجوی گوگل کمک می‌کند.

به‌نقل از بلیپینگ‌کامپیوتر، تیم امنیتی WPScan در ماه آوریل فعالیت فزاینده بازیگران مخرب را مشاهده کرد که وب‌سایت‌های وردپرسی را با نسخه‌های قدیمی‌تر از 5.7.0.1 افزونه کش لایت اسپید اسکن می‌کنند و امنیت آن‌ها را به‌خطر می‌اندازند. این نسخه‌ها در‌برابر نقص امنیتی شدید از نوع «تزریق اسکریپت بین‌سایتی» (XSS) بدون نیاز به احراز هویت آسیب‌پذیر هستند. این نقص با شناسه CVE-2023-40000 شناخته می‌شود.

برای نشان‌دادن وخامت اوضاع باید بگوییم که تنها از یک آدرس IP، یعنی 94.102.51.144، بیش از 1/2 میلیون درخواست بررسی برای یافتن وب‌سایت‌های آسیب‌پذیر ارسال شده است. WPScan گزارش می‌دهد که حملات از کد جاوااسکریپت مخربی استفاده می‌کنند که به فایل‌های مهم وردپرس یا پایگاه داده تزریق می‌شود.

این کد مخرب حساب‌های کاربری ادمین با نام‌های «wpsupp-user» یا «wp-configuser» ایجاد می‌کند. یکی دیگر از نشانه‌های آلودگی، وجود عبارت «eval(atob(Strings.fromCharCode» در گزینه «litespeed.admin_display.messages» در پایگاه داده است.

تعدادی از کاربران افزونه لایت اسپید به نسخه‌های جدیدتر مهاجرت کرده‌اند که تحت‌تأثیر CVE-2023-40000 نیستند؛ اما تعداد زیادی (تقریباً ۱,۸۳۵,۰۰۰ کاربر) نیز همچنان از نسخه‌ آسیب‌پذیر استفاده می‌کنند.

ایجاد حساب‌های ادمین در وب‌سایت‌های وردپرسی به مهاجمان امکان کنترل کامل بر آن‌ها را می‌دهد و به آنان کمک می‌کند تا محتوا را تغییر دهند، افزونه‌ها را نصب کنند، تنظیمات مهم را تغییر دهند، ترافیک را به وب‌سایت‌های ناامن هدایت کنند، بدافزار و فیشینگ منتشر کنند یا داده‌های کاربری موجود را بدزدند.

در ابتدای هفته، Wallarm گزارشی از کمپین دیگری منتشر کرد که افزونه وردپرس به نام «Email Subscribers» را هدف قرار می‌دهد تا حساب‌های مدیر ایجاد کند. هکرها از نقص تزریق SQL بحرانی با شناسه CVE-2024-2876 برای سوءاستفاده از افزونه‌ Email Subscribers وردپرس استفاده می‌کنند. این نقص امنیتی با امتیاز شدت ۹/۸ از ۱۰، نسخه‌های ۵.۷.۱۴ و قدیمی‌تر این افزونه را تحت‌تأثیر قرار می‌دهد.

با اینکه Email Subscribers با داشتن ۹۰ هزار نصب فعال به‌مراتب از لایت اسپید کش محبوبیت کمتری دارد، حملات مشاهده‌شده نشان می‌دهند که هکرها از هیچ فرصتی برای نفوذ چشم‌پوشی نمی‌کنند.

برای جلوگیری از هرگونه مشکل احتمالی، به ادمین‌های وب‌سایت‌های وردپرس توصیه می‌شود تا افزونه‌ها را به جدیدترین نسخه به‌روزرسانی کنند و افزونه‌های بلااستفاده و اضافه را حذف یا غیرفعال کنند و درقبال ایجاد حساب‌های مدیر جدید هوشیار باشند.

ناگفته نماند که درصورت تأیید نفوذ، پاک‌سازی کامل وب‌سایت الزامی است. این فرایند شامل حذف تمام حساب‌های جعلی، بازنشانی رمز‌عبور برای همه حساب‌های موجود، بازیابی پایگاه داده و فایل‌های وب‌سایت از نسخه پشتیبان سالم است.