حمله سایبری به بیش از 1.2 میلیون سایت وردپرسی

اخبار روز حوزه وب 2 دقیقه زمان مطالعه بروزرسانی در30 خرداد, 1405

شرکت امنیتی Sansec از شناسایی یک رخنه امنیتی مهم، در سه افزونه پرکاربرد متعلق به شرکت Awesome Motive خبر داد. در این روش که به زنجیره تامین شناخته می‌شود،

شرکت امنیتی Sansec از شناسایی یک رخنه امنیتی مهم، در سه افزونه پرکاربرد متعلق به شرکت Awesome Motive خبر داد. در این روش که به زنجیره تامین شناخته می‌شود، مهاجم قادر است با دستکاری فایل‌های جاوااسکریپت افزونه‌های OptinMonster، TrustPulse و PushEngage، امنیت صدها هزار وب‌سایت را از طریق شبکه توزیع محتوا (CDN) به خطر اندازد.

نحوه عملکرد

به محض ورود مدیر سایت به پیشخوان سایت آلوده، مهاجم چندین اکانت ادمین را به‌صورت مخفی ایجاد می‌کند. سپس یک پلاگین پنهان بر روی سایت نصب می‌شود که هکر را قادر می‌سازد تا دستورات خود را بر روی سرور اجرا کند. بررسی ها نشان می دهد که پنجره زمانی این رخنه امنیتی عملکرد حسبا شده ای دارد. به عنوان مثال در افزونه‌های OptinMonster و TrustPulse، کد مخرب تنها ۲۵ دقیقه فعال می شود اما در PushEngage، آلودگی ساعات طولانی‌تری ادامه می یابد.

منبع حمله

شرکت PushEngage معتقد است مهاجم از آسیب‌پذیری افزونه UpdraftPlus سوءاستفاده می کند تا با نفوذ به سرور اصلی این افزونه، کلید دسترسی به شبکه CDN را سرقت کند. با این حال، Sansec اعلام کرده هنوز نمی‌توان با قطعیت منبع نفوذ را مشخص کرد و احتمال دارد سرورهای خود شرکت Awesome Motive هدف قرار گرفته باشند.

Indicators of Compromise (IoCs) from Sansec

توصیه‌های امنیتی

بنا به اعلام Sansec، هر سایتی که در این بازه زمانی از افزونه‌های OptinMonster، TrustPulse یا PushEngage استفاده کرده است باید به عنوان بستر آلوده در نظر گرفته شود. به همین منظور، مدیران سایت‌های وردپرسی باید اقدامات زیر را هرچه سریع‌تر انجام دهند:

بررسی مستقیم فایل‌های سرور برای یافتن پوشه‌های content-delivery-helper یا database-optimizer
حذف تمام حساب‌های ادمین ناشناس
بررسی لاگ‌های سرور برای ترافیک خروجی به دامنه tidio.cc یا آی‌پی 84.201.6.54
تغییر فوری تمام رمزهای عبور، کلیدهای API و اطلاعات اتصال به پایگاه داده
به‌روزرسانی فوری افزونه UpdraftPlus

حمله زنجیره تامین روشی است که در آن، هکرها به جای هدف قرار دادن مستقیم وب‌سایت‌ها، افزونه‌ها یا سرویس‌های مورد اعتماد را آلوده می‌کنند. از آنجایی‌که میلیون‌ها سایت این افزونه‌ها را نصب کرده‌اند، با یک حمله به منبع اصلی (مانند فایل‌های جاوااسکریپت یا شبکه CDN)، بدافزار به‌طور خودکار به صدها هزار سایت منتقل می‌شود. این روش بسیار خطرناک است زیرا مدیران سایت معمولاً به افزونه‌های معتبر اعتماد کامل دارند.