بدأ المتسللون في استهداف ثغرة أمنية خطيرة في المكون الإضافي WP Automatic لـ WordPress لإنشاء حسابات مستخدمين تتمتع بامتيازات إدارية وزرع أبواب خلفية للوصول على المدى الطويل.
يتيح WP Automatic المثبت حاليًا على أكثر من 30000 موقع ويب للمسؤولين أتمتة استيراد المحتوى (مثل النصوص والصور والفيديو) من مصادر مختلفة عبر الإنترنت والنشر على موقع WordPress الخاص بهم.
تم تحديد الثغرة الأمنية المستغلة على أنها CVE-2024-27956 وحصلت على درجة خطورة 9.9/10.
تم الكشف عنه علنًا من قبل الباحثين فيباتش ستاكخدمة تخفيف الثغرات الأمنية في 13 مارس وتم وصفها بأنها مشكلة حقن SQL تؤثر على إصدارات WP التلقائية قبل 3.9.2.0.
المشكلة موجودة في آلية مصادقة المستخدم الخاصة بالمكون الإضافي، والتي يمكن تجاوزها لإرسال استعلامات SQL إلى قاعدة بيانات الموقع. يمكن للمتسللين استخدام استعلامات مصممة خصيصًا لإنشاء حسابات مسؤول على موقع الويب المستهدف.
أكثر من 5.5 مليون محاولة هجوم
منذ أن كشف PatchStack عن المشكلة الأمنية، لاحظ WPScan من Automattic أكثر من 5.5 مليون هجمة تحاول الاستفادة من الثغرة الأمنية، وتم تسجيل معظمها في 31 مارس.
يفيد WPScan أنه بعد الحصول على حق الوصول الإداري إلى موقع الويب المستهدف، يقوم المهاجمون بإنشاء أبواب خلفية والتعتيم على الكود لجعل العثور عليه أكثر صعوبة.
“بمجرد اختراق موقع WordPress، يضمن المهاجمون طول عمر وصولهم عن طريق إنشاء أبواب خلفية وإخفاء التعليمات البرمجية.” يقرأ تقرير WPScan.
ولمنع المتسللين الآخرين من اختراق موقع الويب من خلال استغلال نفس المشكلة ولتجنب اكتشافهم، يقوم المتسللون أيضًا بإعادة تسمية الملف الضعيف “csv.php”.
بمجرد السيطرة على موقع الويب، غالبًا ما يقوم ممثل التهديد بتثبيت مكونات إضافية إضافية تسمح بتحميل الملفات وتحرير التعليمات البرمجية.
يوفر WPScan مجموعة من مؤشرات الاختراق التي يمكن أن تساعد المسؤولين في تحديد ما إذا كان موقع الويب الخاص بهم قد تم اختراقه أم لا.
يمكن للمسؤولين التحقق من وجود علامات تشير إلى سيطرة المتسللين على موقع الويب من خلال البحث عن وجود حساب مسؤول يبدأ بـ “xtw” والملفات المسماةweb.phpو Index.phpوهي الأبواب الخلفية التي زرعت في الحملة الأخيرة.
للتخفيف من مخاطر الاختراق، يوصي الباحثون مسؤولي موقع WordPress بتحديث المكون الإضافي WP Automatic إلى الإصدار 3.92.1 أو الأحدث.
توصي WPScan أيضًا بأن يقوم مالكو مواقع الويب بشكل متكرر بإنشاء نسخ احتياطية لموقعهم حتى يتمكنوا من تثبيت نسخ نظيفة بسرعة في حالة حدوث اختراق.