البرامج النصية الضارة والأبواب الخلفية تستهدف العيوب الحرجة في مكونات WordPress الإضافية
يحذر Fastly من أن موجة جديدة من الهجمات الإلكترونية تستغل نقاط الضعف في ثلاثة مكونات إضافية لـ WordPress مستخدمة على نطاق واسع، وتحقن نصوصًا برمجية ضارة وأبوابًا خلفية في مواقع الويب. تتيح هذه العيوب الخطيرة للمهاجمين تنفيذ هجمات البرمجة النصية المخزنة عبر المواقع (XSS) غير المصادق عليها، مما يسهل إنشاء حسابات مسؤول WordPress غير مصرح بها، وحقن أبواب PHP الخلفية في ملفات المكونات الإضافية وملفات السمات، وإعداد نصوص التتبع لمراقبة المواقع المخترقة.
لاحظت شركة Fastly عددًا كبيرًا من محاولات الاستغلال الصادرة عن عناوين IP المرتبطة بشركة IP Volume Inc التابعة للنظام الذاتي (AS). وتشمل المكونات الإضافية المتأثرة WP Statistics وWP Meta SEO وLiteSpeed Cache، مما يؤثر على الملايين من عمليات التثبيت النشطة.
جدول المحتويات
ثغرة إحصائيات WP: CVE-2024-2194
تؤثر الثغرة الأمنية الأولى على المكون الإضافي WP Statistics، الذي يضم أكثر من 600000 عملية تثبيت نشطة. يسمح هذا الخلل، الذي تم تتبعه باسم CVE-2024-2194، للمهاجمين بإدخال البرامج النصية عبر معلمة بحث URL. تم الكشف عنه في شهر مارس، وهو يؤثر على الإصدارات 14.5 والإصدارات الأقدم. يتم تنفيذ البرامج النصية المحقونة عندما يصل المستخدم إلى صفحة مصابة، حيث يضيف المهاجمون المعلمة "utm_id" للطلبات لضمان ظهور الحمولة على الصفحات الأكثر زيارة.
ثغرة أمنية في WP Meta SEO: CVE-2023-6961
الثغرة الثانية، CVE-2023-6961، تؤثر على المكون الإضافي WP Meta SEO، مع أكثر من 20000 عملية تثبيت نشطة. يسمح هذا الخطأ للمهاجمين بإدخال حمولة في الصفحات التي تولد استجابة 404. عندما يقوم المسؤول بتحميل مثل هذه الصفحة، يقوم البرنامج النصي بجلب كود JavaScript المبهم من خادم بعيد. إذا تمت مصادقة المسؤول، فيمكن للحمولة سرقة بيانات الاعتماد الخاصة به.
ثغرة أمنية في ذاكرة التخزين المؤقت LiteSpeed: CVE-2023-40000
وتستهدف الثغرة الأمنية الثالثة، CVE-2023-40000، المكوّن الإضافي LiteSpeed Cache، الذي يحتوي على أكثر من 5 ملايين عملية تثبيت نشطة. يقوم المهاجمون بإخفاء حمولة XSS كإشعار إداري، مما يؤدي إلى تشغيل البرنامج النصي عند وصول المسؤول إلى صفحة خلفية. يسمح هذا بتنفيذ البرنامج النصي باستخدام بيانات اعتماد المسؤول للإجراءات الضارة اللاحقة.
حدد تحقيق Fastly خمسة نطاقات تمت الإشارة إليها في الحمولات الضارة، إلى جانب نطاقين إضافيين يستخدمان للتتبع، وقد ارتبط أحدهما على الأقل سابقًا باستغلال مكونات WordPress الإضافية الضعيفة. يُنصح مسؤولو مواقع الويب الذين يستخدمون المكونات الإضافية المتأثرة بالتحديث إلى أحدث الإصدارات على الفور ومراقبة مواقعهم بحثًا عن أي نشاط مشبوه.