آیا سایت وردپرس شما از LiteSpeed Cache استفاده می کند؟ افزایش اخیر تزریق های مخرب جاوا اسکریپت نسخه های آسیب پذیر را هدف قرار می دهد. یاد بگیرید که چگونه علائم عفونت را شناسایی کنید و از حملات بعدی جلوگیری کنید. امروز سایت وردپرس خود را وصله، اسکن و ایمن کنید.

تیم امنیتی Automattic، WPScan، ادعا می‌کند که وب‌سایت‌های وردپرس اخیراً مورد حمله قرار گرفته‌اند، با موجی از جاوا اسکریپت مخرب که با استفاده از نسخه‌های آسیب‌پذیر افزونه LiteSpeed Cache تزریق می‌شود.

از سال 2024، بیش از 1.89 میلیارد وب سایت در اینترنت وجود دارد که حدود 835 میلیون آنها به سیستم مدیریت محتوای خود (CMS) به وردپرس متکی هستند که تقریباً 43.3 درصد از کل وب سایت ها را در سراسر جهان تشکیل می دهد. این امر CMS را به یک هدف سودآور برای مجرمان سایبری تبدیل می کند.

طبق پست وبلاگ WPSCan ، عوامل تهدید از یک آسیب‌پذیری اسکریپت متقابل سایت (XSS) در این افزونه سوء استفاده می‌کنند که به کاربر احراز هویت نشده اجازه می‌دهد تا از طریق درخواست‌های HTTP ساخته‌شده ویژه، امتیازات را افزایش دهد. نسخه‌های پلاگین LiteSpeed Cache قدیمی‌تر از 5.7.0.1 در برابر یک نقص اسکریپت نویسی بین سایتی تأیید نشده با شدت بالا (8.8) آسیب‌پذیر هستند که به عنوان CVE-2023-40000 ردیابی شده و توسط Patchstack در فوریه 2024 فاش شده است.

درک آسیب پذیری
این آسیب‌پذیری در XSS ذخیره‌شده احراز هویت نشده (اسکریپت بین سایتی) در نسخه‌های قدیمی‌تر افزونه نهفته است. XSS تأیید نشده به این معنی است که یک مهاجم برای تزریق کد مخرب به اعتبارنامه ورود نیاز ندارد.

از طرف دیگر، Stored XSS به این معنی است که کد مخرب در پایگاه داده وب سایت شما ذخیره می شود و هر کاربری را که از صفحه در معرض خطر بازدید می کند آلوده می کند. مهاجمان کدهای مخرب جاوا اسکریپت را در فایل‌ها و پایگاه داده وردپرس تزریق می‌کنند و با سوءاستفاده از این نقص، کاربران سرپرستی را با نام «wpsupp‑user» یا «wp‑configuser» ایجاد می‌کنند.

می‌توانید URLها و IPهای مخرب را همانطور که معمولاً شامل (startservicefounds . com/service/f.php، apistartservicefounds. com و (cachecloudswiftcdn. com) هستند شناسایی کنید، و IP مرتبط با بدافزار به‌عنوان 45.150.67.235 ردیابی شد.

خطرات بالقوه
LiteSpeed Cache یک افزونه محبوب است که در بیش از پنج میلیون سایت وردپرس به دلیل قابلیت های افزایش رتبه جستجوی گوگل استفاده می شود. این نقص در اکتبر 2023 در نسخه 5.7.0.1 برطرف شد در حالی که آخرین نسخه، 6.2.0.1، در 25 آوریل 2024 منتشر شد . با این حال، علیرغم مهاجرت به نسخه‌های غیرآسیب‌پذیر، 1835000 کاربر همچنان نسخه‌های آسیب‌پذیر را اجرا می‌کنند که نشان‌دهنده عفونت، محققان است. اشاره شد.

ایجاد حساب‌های مدیریت در سایت‌های وردپرس می‌تواند منجر به عواقب شدیدی شود و به عوامل تهدید اجازه می‌دهد تا کنترل کامل را به دست آورند و اقدامات خودسرانه مانند تزریق بدافزار یا نصب افزونه‌های مخرب را انجام دهند. احتیاط کنید!
این توسعه پس از آن صورت گرفت که Sucuri یک کمپین کلاهبرداری تغییر مسیر به نام Mal.Metrica را فاش کرد که از پیام‌های CAPTCHA جعلی برای هدایت کاربران به سایت‌های جعلی استفاده می‌کند.

برای ایمن سازی سایت وردپرس خود، افزونه LiteSpeed Cache را به آخرین نسخه به روز کنید، بدافزار را با استفاده از یک اسکنر امنیتی معتبر وردپرس اسکن کنید و تمام اعتبارنامه های ورود را تغییر دهید. WPScan جستجوی رشته های مشکوک را در گزینه litespeed.admin_display.messages یا حضور wpsupp-user توصیه می کند.