هکرها از یک نقص امنیتی در افزونه وردپرس LiteSpeed Cache برای ایجاد خودکار حسابهای مدیریت وردپرس استفاده میکنند.
به گزارش Technock، هکرها وبسایتهای وردپرس را هدف قرار میدهند تا حسابهای کاربری ادمین ایجاد کنند و با سوءاستفاده از یک حفره در نسخه قدیمی افزونه کش لایت اسپید، کنترل وبسایتها را در دست بگیرند. Lightspeed Cache (LS Cache) یک افزونه کش معروف است که توسط بیش از 5 میلیون وب سایت وردپرس استفاده می شود. این افزونه به افزایش سرعت بارگذاری صفحه و بهبود تجربه کاربری و بهبود رتبه وب سایت در نتایج جستجوی گوگل کمک می کند.
به گفته BleepingComputer، در ماه آوریل، تیم امنیتی WPScan متوجه افزایش فعالیت بازیگران مخربی شد که وبسایتهای وردپرس با نسخههای قدیمیتر از 5.7.0.1 پلاگین LiteSpeed را اسکن میکردند و امنیت آنها را به خطر انداختند. این نسخه ها در برابر آسیب پذیری جدی “تزریق اسکریپت بین سایتی” (XSS) بدون نیاز به احراز هویت آسیب پذیر هستند. این نقص با نام CVE-2023-40000 شناخته می شود.
برای نشان دادن جدی بودن وضعیت، بیش از 1.2 میلیون درخواست اسکن برای وب سایت های آسیب پذیر تنها از یک آدرس IP، 94.102.51.144 ارسال شد. WPScan گزارش می دهد که این حملات از کد جاوا اسکریپت مخربی استفاده می کند که به فایل ها یا پایگاه داده های حیاتی وردپرس تزریق می شود.
این کد مخرب حساب های کاربری مدیریتی با نام های “wpsupp-user” یا “wp-configuser” ایجاد می کند. یکی دیگر از نشانه های آلودگی وجود عبارت “eval(atob(Strings.fromCharCode)” در گزینه “litespeed.admin_display.messages” در پایگاه داده است.
تعدادی از کاربران پلاگین های Lightspeed به نسخه های جدیدتر مهاجرت کرده اند که تحت تأثیر CVE-2023-40000 قرار نگرفته اند. اما تعداد زیادی (تقریباً 1835000 کاربر) همچنان از نسخه آسیب پذیر استفاده می کنند.
ایجاد حسابهای مدیریت در وبسایتهای وردپرس به مهاجمان کنترل کامل روی آنها میدهد و به آنها کمک میکند محتوا را تغییر دهند، افزونهها را نصب کنند، تنظیمات مهم را تغییر دهند، ترافیک را به وبسایتهای ناامن هدایت کنند، بدافزارها و فیشینگ را پخش کنند یا دادههای کاربر موجود را به سرقت ببرند.
در اوایل این هفته، Wallarm از کمپین دیگری گزارش داد که یک افزونه وردپرس به نام “مشترکین ایمیل” را برای ایجاد حساب های مدیریتی هدف قرار می دهد. هکرها از یک آسیبپذیری مهم تزریق SQL با نام CVE-2024-2876 برای سوء استفاده از افزونه مشترک ایمیل وردپرس استفاده میکنند. با امتیاز 9.8 از 10، این نقص امنیتی بر نسخه های 5.7.14 و قبل از این افزونه تأثیر می گذارد.
اگرچه Email Subscribers با 90000 نصب فعال بسیار کمتر از LiteSpeed Cache محبوب است، حملات مشاهده شده نشان می دهد که هکرها هیچ فرصتی را برای نفوذ از دست نمی دهند.
برای جلوگیری از هرگونه مشکل احتمالی، به مدیران وب سایت وردپرس توصیه می شود که افزونه ها را به آخرین نسخه به روز کنند و افزونه های استفاده نشده و اضافی را حذف یا غیرفعال کنند و هنگام ایجاد حساب های مدیریتی جدید هوشیار باشند.
ناگفته نماند که در صورت تایید هک، پاکسازی کامل وب سایت ضروری است. این فرآیند شامل حذف همه حسابهای جعلی، بازنشانی رمز عبور برای همه حسابهای موجود، بازیابی پایگاه داده و فایلهای وبسایت از یک نسخه پشتیبان سالم است.