قراصنة يستغلون ثغرة أمنية خطيرة في “Hunk Companion” البرنامج المساعد لتثبيت وتنشيط المكونات الإضافية الأخرى ذات العيوب القابلة للاستغلال مباشرة من مستودع WordPress.org.
من خلال تثبيت المكونات الإضافية القديمة ذات الثغرات الأمنية المعروفة مع عمليات الاستغلال المتاحة، يمكن للمهاجمين الوصول إلى مجموعة كبيرة من العيوب التي تؤدي إلى تنفيذ التعليمات البرمجية عن بعد (RCE)، أو حقن SQL، أو عيوب البرمجة النصية عبر المواقع (XSS)، أو إنشاء حسابات إدارية مستترة.
تم اكتشاف النشاط بواسطة WPScan، الذي أبلغ عنه إلى Hunk Companion، مع تحديث أمني يعالج ثغرة اليوم صفر التي تم إصدارها أمس.
تثبيت المكونات الإضافية الضعيفة
Hunk Companion عبارة عن مكون إضافي لـ WordPress مصمم لاستكمال وتحسين وظائف السمات التي طورتها ThemeHunk، وهي شركة تقدم سمات WordPress قابلة للتخصيص، لذا فهي مجرد وظيفة إضافية وليست مكونًا إضافيًا مستقلاً.
وفقًا لإحصائيات WordPress.org، يتم استخدام Hunk Companion حاليًا في أكثر من 10000 موقع WordPress، لذا فهي أداة متخصصة نسبيًا في هذا المجال.
تم اكتشاف الثغرة الحرجة بواسطة باحث WPScan دانييل رودريغيز وتم تتبعها على أنها”https://www.cve.org/CVERecord?id=CVE-2024-11972″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-11972. يسمح الخلل بالتثبيت التعسفي للمكونات الإضافية عن طريق طلبات POST غير المصادق عليها.
تؤثر هذه المشكلة على جميع إصدارات Hunk Companion قبل الإصدار 1.9.0 الأحدث، الذي تم إصداره بالأمس، والذي عالج المشكلة.
أثناء التحقيق في إصابة موقع WordPress، اكتشف WPScan استغلالًا نشطًا لـ CVE-2024-11972 لتثبيت إصدار ضعيف من”https://wordpress.org/plugins/wp-query-console/” الهدف=”_blank” rel=”nofollow noopener”>وحدة تحكم استعلام WP.
هذا مكون إضافي غامض تم تحديثه آخر مرة منذ أكثر من 7 سنوات، وقد استغله المتسللون لتنفيذ تعليمات برمجية PHP ضارة على المواقع المستهدفة، مستفيدين من ثغرة RCE ذات اليوم الصفري”https://www.cve.org/CVERecord?id=CVE-2024-50498″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-50498.
“In the infections we’ve analyzed, attackers use the RCE to write a PHP dropper to the site’s root directory,” يشرح WPScan.
“This dropper allows continued unauthenticated uploads via GET requests, enabling persistent backdoor access to the site.”
ومن الجدير بالذكر أن Hunk Companion أصلحت خللًا مشابهًا في الإصدار 1.8.5، والذي تم تتبعه ضمن”https://www.cve.org/CVERecord?id=CVE-2024-9707″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-9707، ولكن يبدو أن التصحيح لم يكن كافيًا، وتوجد طرق لتجاوزه.
نظرًا لخطورة الخلل وحالة الاستغلال النشط، يوصى مستخدمي Hunk Companion بالتحديث إلى 1.9.0 في أقرب وقت ممكن.
في وقت كتابة هذا التقرير، كان الإصدار الأحدث”https://wordpress.org/plugins/hunk-companion/advanced/” الهدف=”_blank” rel=”nofollow noopener”> تم تنزيله حوالي 1800 مرةلذلك يظل ما لا يقل عن ثمانية آلاف موقع ويب عرضة للاستغلال.