يستغل المهاجمون عيبًا في اللائحة العامة لحماية البيانات لبرنامج ووردبريس لاختطاف مواقع الويب
بقلم توماس فولتين، الكاتب في أمن المعلومات لدي شركة إسيت.
استغل المهاجمون ضعفًا أمنيًا في اللائحة العامة لحماية البيانات GDPR لبرنامج ووردبريس WordPress للاستيلاء على مواقع الويب الضعيفة، وذلك وفقًا لمقالة مدونة كتبها Defiant، والتي تصنع الإضافات الأمنية لـ Wordfence لمنصة نشر مواقع الويب.
و أصدر المطور وراء البرنامج المساعد، والذي يسمى WP GDPR Compliance، تصحيحا لإصلاح الخلل الحرج. لذلك، ينصح مستخدموها بشدة بالترقية إلى الإصدار 1.4.3. و بالتناوب، قد يتم تعطيل الأداة أو إلغاء تثبيتها.
يسعى أكثر من 100 ألف موقع إلكتروني تسعى إلى الامتثال لقانون اللائحة العامة لحماية البيانات للاتحاد الأوروبي (GDPR)، وتم سحب المكون من مستودع ووردبريس الإضافي بعد إنتشار خبر الخلل، ولكن تم إعادته بسرعة مع الإصدار الذي يقوم بسد الثغرة .
اثنان في واحد
وفي حالة تركها غير موصلة، فإن الثغرة تسمح للمهاجمين بالاستيلاء على المواقع المتأثرة واستخدامها لمجموعة من الإجراءات الشريرة. ليس هذا تهديداً افتراضياً فالمهاجمين يعرضون مواقع الويب الضعيفة للخطر لمدة حوالي ثلاثة أسابيع.
في الواقع ، لقد تأثر المكون بثغرتين متميزتين. ومع ذلك، ذكر في منشور المدونة “مع إحتمالية التعرض للاستغلال المتواجدة في نفس مجموعة الرموز و التي أعدمت بنفس الحمولة فإننا نعالج هذه الثغرة الأمنية بسبب ضعف الامتيازات”. و اكتشف الباحثون نوعين من الهجمات التي تستفيد من الثغرة الأمنية: وهي بسيطة و لكن أكثر تعقيداً.
وكما يوضح مقال تابع للدونة، فإن السيناريو الأول – والأكثر شيوعًا – يشمل المهاجمين الذين يسيئون استخدام نظام تسجيل المستخدم على موقع ويب مستهدف من أجل إنشاء حسابات مسؤول جديدة، والتي تعطيهم بعد ذلك تفويضاً مطلقاً عن الموقع.
كجزء من الروتين الخبيث، “يقوم المهاجمون بإغلاق الأبواب وراء أنفسهم” عن طريق عكس التغييرات في الإعدادات التي تسمح لهم بالدخول وتعطيل تسجيل المستخدم. ومن المفترض أن يكون الهدف من ذلك تجنب إثارة الإنذارات وإغلاق المنافذ. وبعد بضع ساعات، يعود المهاجمون – بتسجيل الدخول من خلال أذون الدخول الإدارية وتثبيت الخلفية.
في الهجوم الثاني – وهو نوع هجوم أكثر رصانة، يستفيد القائمون على الخطأ من إساءة استخدام أداة جدولة المهام في ووردبريس تحت اسم WP-Cron. ويقوم بحقن الإجراءات الخبيثة في جدولة المهام من أجل إنشاء خلفي دائم في نهاية المطاف.
ومن غير الواضح في هذه المرحلة هدف المهاجمون و ما هي الاستفادة النهائية من المواقع المختطفة. وعلى أي حال فإن الإجراءات الضارة المحتملة تشغل النطاق الكامل وتتضمن استضافة مواقع التصيّد الاحتيالي وتصفية الرسائل غير المرغوب فيها.
