يحاول المتسللون استغلال ثغرة أمنية خطيرة في مكون WordPress الإضافي

قال باحثون إن المتسللين يهاجمون مواقع الويب باستخدام مكون WordPress الإضافي البارز مع ملايين المحاولات لاستغلال ثغرة أمنية عالية الخطورة تسمح بالاستيلاء الكامل.

تكمن الثغرة في ووردبريس تلقائي، وهو مكون إضافي يضم أكثر من 38000 عميل مدفوع الأجر. تستخدمه مواقع الويب التي تستخدم نظام إدارة محتوى WordPress لدمج محتوى من مواقع أخرى. باحثون من شركة Patchstack الأمنية تم الكشف عنها الشهر الماضي أن إصدارات WP Automatic 3.92.0 والإصدارات الأقدم بها ثغرة أمنية بتصنيف خطورة يبلغ 9.9 من أصل 10. قام مطور البرنامج الإضافي، ValvePress، بنشر تصحيح بصمت، وهو متوفر في الإصدارات 3.92.1 وما بعده.

وقد صنف الباحثون الخلل، الذي تم تتبعه بالرقم CVE-2024-27956، على أنه حقنة SQL، وهي فئة من الثغرات الأمنية تنبع من فشل تطبيق ويب في الاستعلام عن قواعد البيانات الخلفية بشكل صحيح. يستخدم بناء جملة SQL الفواصل العليا للإشارة إلى بداية ونهاية سلسلة البيانات. من خلال إدخال سلاسل ذات فواصل علوية موضوعة خصيصًا في حقول مواقع الويب الضعيفة، يمكن للمهاجمين تنفيذ تعليمات برمجية تؤدي إجراءات حساسة مختلفة، بما في ذلك إعادة البيانات السرية، أو منح امتيازات النظام الإداري، أو تخريب كيفية عمل تطبيق الويب.

وكتب باحثو باتشستاك في ١٣ مارس: “إن هذه الثغرة الأمنية خطيرة للغاية ومن المتوقع أن يتم استغلالها على نطاق واسع”.

زميل شركة أمن الويب WPScan قال الخميس أنها سجلت أكثر من 5.5 مليون محاولة لاستغلال الثغرة منذ الكشف عنها في 13 مارس بواسطة Patchstack. وقالت WPScan إن المحاولات بدأت ببطء وبلغت ذروتها في 31 مارس. ولم تذكر الشركة عدد المحاولات الناجحة.

قال WPScan أن CVE-2024-27596 يسمح لزوار موقع الويب غير المصادق عليهم بإنشاء حسابات مستخدم على مستوى المسؤول، وتحميل الملفات الضارة، والتحكم الكامل في المواقع المتأثرة. تسمح الثغرة الأمنية، التي تكمن في كيفية تعامل المكون الإضافي مع مصادقة المستخدم، للمهاجمين بتجاوز عملية المصادقة العادية وحقن كود SQL الذي يمنحهم امتيازات نظام مرتفعة. ومن هناك، يمكنهم تحميل وتنفيذ حمولات ضارة تعيد تسمية الملفات الحساسة لمنع مالك الموقع أو زملائه المتسللين من التحكم في الموقع المختطف.

عادةً ما تتبع الهجمات الناجحة هذه العملية:

• حقن SQL (SQLi): يستفيد المهاجمون من ثغرة SQLi في المكون الإضافي WP-Automatic لتنفيذ استعلامات قاعدة البيانات غير المصرح بها.
• إنشاء مستخدم إداري: من خلال القدرة على تنفيذ استعلامات SQL عشوائية، يمكن للمهاجمين إنشاء حسابات مستخدمين جديدة على مستوى المسؤول داخل WordPress.
• تحميل البرامج الضارة: بمجرد إنشاء حساب على مستوى المسؤول، يمكن للمهاجمين تحميل ملفات ضارة، عادةً ما تكون أغطية الويب أو الأبواب الخلفية، إلى خادم موقع الويب المخترق.
• إعادة تسمية الملف: قد يقوم المهاجم بإعادة تسمية ملف WP-Automatic الضعيف، للتأكد من أنه هو الوحيد القادر على استغلاله.

وأوضح الباحثون في WPScan:

بمجرد اختراق موقع WordPress، يضمن المهاجمون طول عمر وصولهم عن طريق إنشاء أبواب خلفية وإخفاء التعليمات البرمجية. لتجنب الكشف والحفاظ على الوصول، قد يقوم المهاجمون أيضًا بإعادة تسمية ملف WP-Automatic الضعيف، مما يجعل من الصعب على مالكي مواقع الويب أو أدوات الأمان تحديد المشكلة أو حظرها. ومن الجدير بالذكر أنه قد يكون أيضًا طريقة يجدها المهاجمون لتجنب الجهات الفاعلة السيئة الأخرى لاستغلال مواقعهم المخترقة بالفعل بنجاح. وأيضًا، نظرًا لأن المهاجم يمكنه استخدام الامتيازات العالية التي حصل عليها لتثبيت المكونات الإضافية والموضوعات على الموقع، فقد لاحظنا أنه في معظم المواقع المخترقة، قام الممثلون السيئون بتثبيت المكونات الإضافية التي سمحت لهم بتحميل الملفات أو تحرير التعليمات البرمجية.

بدأت الهجمات بعد وقت قصير من 13 مارس، أي بعد 15 يومًا من إصدار ValvePress للإصدار 3.92.1 دون ذكر التصحيح المهم في ملاحظات الإصدار. لم يرد ممثلو ValvePress على الفور على رسالة تطلب توضيحًا.

بينما يقوم الباحثون في Patchstack وWPScan بتصنيف CVE-2024-27956 على أنه حقن SQL، قال أحد المطورين ذوي الخبرة إن قراءته للثغرة الأمنية تشير إلى أنها إما ترخيص غير مناسب (سي دبليو إي-285) أو فئة فرعية للتحكم غير الصحيح في الوصول (سي دبليو إي-284).

“وفقا لموقع Patchstack.com، البرنامج هو مفترض “تلقي وتنفيذ استعلام SQL، ولكن فقط من مستخدم معتمد”، كتب المطور، الذي لم يرغب في استخدام اسمه، في مقابلة عبر الإنترنت. “تكمن الثغرة الأمنية في كيفية التحقق من بيانات اعتماد المستخدم قبل تنفيذ الاستعلام، مما يسمح للمهاجم بتجاوز التفويض. يتم حقن SQL عندما يقوم المهاجم بتضمين تعليمات برمجية SQL في ما كان من المفترض أن يكون بيانات فقط، وهذا ليس هو الحال هنا.

ومهما كان التصنيف، فإن الثغرة الأمنية خطيرة بقدر ما هي عليه. يجب على المستخدمين تصحيح البرنامج المساعد على الفور. يجب عليهم أيضًا تحليل خوادمهم بعناية بحثًا عن علامات الاستغلال باستخدام مؤشرات بيانات الاختراق المتوفرة في منشور WPScan المرتبط أعلاه.