امنیت

فناوری اطلاعات

May 27, 2024
19:33 دوشنبه، 7ام خردادماه 1403
کد خبر: 167058

آسیب پذیری XSS افزونه کش LiteSpeed بر 1.8 میلیون سایت وردپرس تاثیر می‌گذارد

آیا سایت وردپرس شما از LiteSpeed Cache استفاده می کند؟ افزایش اخیر تزریق های مخرب جاوا اسکریپت نسخه های آسیب پذیر را هدف قرار می دهد. یاد بگیرید که چگونه علائم عفونت را شناسایی کنید و از حملات بعدی جلوگیری کنید. امروز سایت وردپرس خود را وصله، اسکن و ایمن کنید.

تیم امنیتی Automattic، WPScan، ادعا می‌کند که وب‌سایت‌های وردپرس اخیراً مورد حمله قرار گرفته‌اند، با موجی از جاوا اسکریپت مخرب که با استفاده از نسخه‌های آسیب‌پذیر افزونه LiteSpeed Cache تزریق می‌شود.

از سال 2024، بیش از 1.89 میلیارد وب سایت در اینترنت وجود دارد که حدود 835 میلیون آنها به سیستم مدیریت محتوای خود (CMS) به وردپرس متکی هستند که تقریباً 43.3 درصد از کل وب سایت ها را در سراسر جهان تشکیل می دهد. این امر CMS را به یک هدف سودآور برای مجرمان سایبری تبدیل می کند.

طبق پست وبلاگ WPSCan ، عوامل تهدید از یک آسیب‌پذیری اسکریپت متقابل سایت (XSS) در این افزونه سوء استفاده می‌کنند که به کاربر احراز هویت نشده اجازه می‌دهد تا از طریق درخواست‌های HTTP ساخته‌شده ویژه، امتیازات را افزایش دهد. نسخه‌های پلاگین LiteSpeed Cache قدیمی‌تر از 5.7.0.1 در برابر یک نقص اسکریپت نویسی بین سایتی تأیید نشده با شدت بالا (8.8) آسیب‌پذیر هستند که به عنوان CVE-2023-40000 ردیابی شده و توسط Patchstack در فوریه 2024 فاش شده است.

درک آسیب پذیری
این آسیب‌پذیری در XSS ذخیره‌شده احراز هویت نشده (اسکریپت بین سایتی) در نسخه‌های قدیمی‌تر افزونه نهفته است. XSS تأیید نشده به این معنی است که یک مهاجم برای تزریق کد مخرب به اعتبارنامه ورود نیاز ندارد.

از طرف دیگر، Stored XSS به این معنی است که کد مخرب در پایگاه داده وب سایت شما ذخیره می شود و هر کاربری را که از صفحه در معرض خطر بازدید می کند آلوده می کند. مهاجمان کدهای مخرب جاوا اسکریپت را در فایل‌ها و پایگاه داده وردپرس تزریق می‌کنند و با سوءاستفاده از این نقص، کاربران سرپرستی را با نام «wpsupp‑user» یا «wp‑configuser» ایجاد می‌کنند.

می‌توانید URLها و IPهای مخرب را همانطور که معمولاً شامل (startservicefounds . com/service/f.php، apistartservicefounds. com و (cachecloudswiftcdn. com) هستند شناسایی کنید، و IP مرتبط با بدافزار به‌عنوان 45.150.67.235 ردیابی شد.

خطرات بالقوه
LiteSpeed Cache یک افزونه محبوب است که در بیش از پنج میلیون سایت وردپرس به دلیل قابلیت های افزایش رتبه جستجوی گوگل استفاده می شود. این نقص در اکتبر 2023 در نسخه 5.7.0.1 برطرف شد در حالی که آخرین نسخه، 6.2.0.1، در 25 آوریل 2024 منتشر شد . با این حال، علیرغم مهاجرت به نسخه‌های غیرآسیب‌پذیر، 1835000 کاربر همچنان نسخه‌های آسیب‌پذیر را اجرا می‌کنند که نشان‌دهنده عفونت، محققان است. اشاره شد.

ایجاد حساب‌های مدیریت در سایت‌های وردپرس می‌تواند منجر به عواقب شدیدی شود و به عوامل تهدید اجازه می‌دهد تا کنترل کامل را به دست آورند و اقدامات خودسرانه مانند تزریق بدافزار یا نصب افزونه‌های مخرب را انجام دهند. احتیاط کنید!
این توسعه پس از آن صورت گرفت که Sucuri یک کمپین کلاهبرداری تغییر مسیر به نام Mal.Metrica را فاش کرد که از پیام‌های CAPTCHA جعلی برای هدایت کاربران به سایت‌های جعلی استفاده می‌کند.

برای ایمن سازی سایت وردپرس خود، افزونه LiteSpeed Cache را به آخرین نسخه به روز کنید، بدافزار را با استفاده از یک اسکنر امنیتی معتبر وردپرس اسکن کنید و تمام اعتبارنامه های ورود را تغییر دهید. WPScan جستجوی رشته های مشکوک را در گزینه litespeed.admin_display.messages یا حضور wpsupp-user توصیه می کند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.