كان المتسللون يستهدفون مواقع WordPress بإصدار قديم من البرنامج الإضافي LiteSpeed Cache لإنشاء مستخدمين مسؤولين والتحكم في مواقع الويب.
يتم الإعلان عن LiteSpeed Cache (LS Cache) باعتباره مكونًا إضافيًا للتخزين المؤقت يُستخدم في أكثر من خمسة ملايين موقع WordPress يساعد في تسريع تحميل الصفحات وتحسين تجربة الزائر وتعزيز تصنيف بحث Google.
فريق الأمن الآلي، WPScan، لوحظ في أبريل زيادة في نشاط الجهات الفاعلة في مجال التهديد التي تبحث عن مواقع WordPress وتخترقها بإصدارات من المكون الإضافي أقدم من 5.7.0.1، والتي تكون عرضة لخطورة عالية (8.8) خطأ في البرمجة النصية عبر المواقع غير المصادق عليها يتم تتبعه كـ CVE-2023-40000.
من عنوان IP واحد، 94[.]102[.]51[.]144، كان هناك أكثر من 1.2 مليون طلب استقصاء عند البحث عن المواقع المعرضة للخطر.
يفيد WPScan أن الهجمات تستخدم تعليمات برمجية JavaScript ضارة يتم حقنها في ملفات WordPress المهمة أو قاعدة البيانات، مما يؤدي إلى إنشاء مستخدمين مسؤولين يُطلق عليهم اسم “wpsupp-user” أو “wp-configuser”.
علامة أخرى للإصابة هي وجود سلسلة “eval(atob(Strings.fromCharCode” في خيار “litespeed.admin_display.messages” في قاعدة البيانات.
WPScan
لقد انتقل جزء كبير من مستخدمي LiteSpeed Cache إلى الإصدارات الأحدث التي لم تتأثر بـ CVE-2023-40000، ولكن عددًا كبيرًا،حتى 1,835,000، لا يزال يشغل إصدارًا ضعيفًا.
استهداف البرنامج المساعد لمشتركي البريد الإلكتروني
تتيح القدرة على إنشاء حسابات إدارية على مواقع WordPress للمهاجمين التحكم الكامل في موقع الويب، مما يسمح لهم بتعديل المحتوى أو تثبيت المكونات الإضافية أو تغيير الإعدادات المهمة أو إعادة توجيه حركة المرور إلى مواقع غير آمنة أو توزيع البرامج الضارة أو التصيد الاحتيالي أو سرقة بيانات المستخدم المتاحة.
في بداية الأسبوع، أبلغت Wallarm عن حملة أخرى تستهدف مكونًا إضافيًا لـ WordPress يُسمى “مشتركو البريد الإلكتروني” لإنشاء حسابات مسؤول.
يستفيد المتسللون من CVE-2024-2876، وهي ثغرة أمنية خطيرة في حقن SQL بدرجة خطورة تبلغ 9.8/10 تؤثر على إصدارات المكونات الإضافية 5.7.14 والأقدم.
“في حالات الهجمات المرصودة، تم استخدام CVE-2024-27956 لتنفيذ استعلامات غير مصرح بها على قواعد البيانات وإنشاء حسابات مسؤول جديدة على مواقع WordPress الضعيفة (على سبيل المثال، تلك التي تبدأ بـ “xtw”).” – Wallarm
على الرغم من أن “المشتركون في البريد الإلكتروني” أقل شيوعًا بكثير من LiteSpeed Cache، حيث يبلغ إجمالي عددهم 90.000 من المنشآت النشطةتظهر الهجمات المرصودة أن المتسللين لن يخجلوا من أي فرصة.
يُنصح مسؤولو موقع WordPress بتحديث المكونات الإضافية إلى أحدث إصدار، وإزالة المكونات غير المطلوبة أو تعطيلها، ومراقبة حسابات الإدارة الجديدة التي يتم إنشاؤها.
يعد التنظيف الكامل للموقع إلزاميًا في حالة حدوث انتهاك مؤكد. تتطلب العملية حذف جميع الحسابات المارقة، وإعادة تعيين كلمات المرور لجميع الحسابات الموجودة، واستعادة قاعدة البيانات وملفات الموقع من النسخ الاحتياطية النظيفة.