۱.۳میلیون وبسایت وردپرس توسط یک کمپین مورد حمله قرار گرفتهاند. مهاجمان سعی دارند با دانلود کردن یک فایل پیکربندی، نام کاربری و گذرواژه وبسایتها را سرقت کنند.
به نقل از مرکز ماهر، از ۲۹ تا ۳۱ ماه می سال جاری، دیوار آتش وردفنس ۱۳۰ میلیون حمله روی وبسایتهای وردپرس را شناسایی و مسدود کرده است. این حملات ۱.۳ میلیون وبسایت را هدف گرفته اند. گفته شده است که کاربران نسخه پرمیوم و نسخه رایگان فایروال وردفنس (wordfence) در برابر این حمله مصون هستند.
وردپرس نرمافزاری تحت وب است که از آن برای ساختن سرویس وبلاگ دهی و وبسایت استفاده می شود.
در این مدت حملات دیگری نیز روی آسیبپذیریهای افزونهها و تمهای وردپرس صورت گرفته و حملات این کمپین ۷۵ درصد کل چنین حملاتی را تشکیل میدادند. مهاجمانی که این کمپین را اداره میکنند، در اواخر ماه آوریل نیز در کمپین دیگری به دنبال سوءاستفاده از آسیبپذیریهای XSS وردپرس بودند.
در کمپین قبلی، از ۲۰ هزار IP مختلف برای حمله استفاده میشد و در کمپین جدید نیز اکثر حملات با استفاده از همین IPها صورت گرفتهاند. در حملات اخیر، یک میلیون وبسایت جدید نیز مورد هجوم واقع شدهاند که جزء اهداف کمپین قبلی نبودهاند.
در هر دو کمپین، تقریباً تمام حملات، از آسیبپذیریهای قدیمی استفاده میکردند که در افزونهها یا تمهای بهروز نشده وردپرس وجود دارند. این آسیبپذیریها امکان export یا دانلود کردن فایلها را فراهم میکنند.
در کمپین جدید مهاجمان قصد دانلود فایل wp-config.php را داشتند. این فایل حاوی گذرواژه و اطلاعات اتصال به پایگاه داده است و همچنین شامل کلیدهای یکتا و saltهای احراز هویت است. اگر مهاجمی به این فایل دسترسی پیدا کند میتواند به پایگاه داده وبسایت که شامل محتویات وبسایت و مشخصات کاربران آن است، دست یابد.
به نظر میرسد مهاجمان به طور سیستماتیک کدهای بهرهبرداری را از وبسایت exploit-db.com و سایر منابع استخراج و آنها را روی لیستی از وبسایتها اجرا میکنند. در حال حاضر مهاجمان مشغول استفاده از صدها آسیبپذیری هستند، اما آسیبپذیریهای CVE-۲۰۱۴-۹۷۳۴، CVE-۲۰۱۵-۹۴۰۶، CVE-۲۰۱۵-۵۴۶۸ و CVE-۲۰۱۹-۹۶۱۸ جزء موارد با بیشترین استفاده بودهاند.
مرکز ماهر تاکید کرد: اگر وبسایت شما مورد حمله واقع شده باشد، میتوانید اثرات آن را در فایل لاگ سرور خود مشاهده کنید.
در فایل لاگ به دنبال مدخلهایی بگردید که قسمت query آنها شامل wp-config بوده و پاسخ آنها کد ۲۰۰ است.
مرکز ماهر لیست ۱۰ آدرسی که بیشترین حملات از آنها صورت گرفته را منتشر کرده است.
این مرکز تاکید کرد: وبسایتهایی که از وردفنس استفاده میکنند در برابر این حملات مصون هستند. اگر از کاربران وردفنس نیستید و احتمال میدهید مورد حمله واقع شده باشید، گذرواژه پایگاه داده، کلیدها و saltهای احراز هویت را تغییر دهید. برای ایجاد این تغییرات ممکن است نیاز باشد تا با هاستینگ وبسایت خود تماس بگیرید. در ضمن برای جلوگیری از حملات، همه افزونهها و تمهای وردپرس را بهروز نگه دارید.
از این رو اگر سرور شما طوری پیکربندی شده است که اجازه دسترسی از راه دور را به پایگاه داده میدهد، مهاجم با داشتن گذرواژه پایگاه داده میتواند به راحتی کاربر مدیر جدید اضافه کند، دادههای حساس را سرقت کند یا کل وبسایت را پاک کند.
در صورتی که امکان دسترسی از راه دور به پایگاه داده فراهم نباشد نیز، ممکن است مهاجم با داشتن کلیدها و saltهای احراز هویت بتواند سایر مکانیزمهای امنیتی را دور بزند.