وبسایتهای فروشگاههایی مبتنی بر وردپرس، توسط گروهی از مجرمان سایبری تحت حملات شدید قرار گرفتهاند. آنها از آسیبپذیری یک افزونهی سبد خرید فروشگاهی استفاده میکنند تا راههای نفوذی را به وبسایتهای فروشگاهی باز کنند و درنهایت، کنترل فروشگاه اینترنتی را در دست بگیرند. گزارش شرکت امنیتی Defiant نشان میدهد که حملات هماکنون نیز ادامه دارند. آن شرکت، عرضهکنندهی یک افزونهی امنیتی بهنام Wordefence برای وبسایتهای وردپرسی است.
گزارش امنیتی میگوید که مجرمان سایبری از افزونهی سبد فروشگاهی بهنام Abandoned Cart Lite for WooCommerce برای نفوذ استفاده میکنند. طبق گزارش مخزن رسمی افزونههای وردپرس، این افزونه اکنون روی ۲۰ هزار وبسایت وردپرسی فعالیت میکند.
آسیبپذیری مورد نظر، یکی از معدود نمونههایی است که در آن از روش تقریبا بیخطر XSS استفاده میشود، اما میتواند تأثیرات مخرب قابلتوجهی داشته باشد. درواقع، حفرههای امنیتی XSS بهندرت برای چنین حملههای مرگباری استفاده میشوند. حملات کنونی در اثر اشکالات افزونه و نحوهی بهرهبرداری از حفرهی امنیتی صورت میگیرند که ترکیب آنها، تهدیدات شدیدی را به همراه دارد.
افزونهی فروشگاهی مذکور، به مدیران وبسایتها امکان میدهد تا سبدهای خریدی را که توسط کاربران رها شدهاند، بهراحتی مشاهده کنند. سبدهایی که خریدار آنها، پیش از نهایی شدن خرید، وبسایت را ترک میکند. با استفاده از این افزونه میتوان محصولات پرطرفدار را بهصورت بهینهتری شناسایی و آنها را بهصورت بهتری عرضه کرد و به نمایش گذاشت. درنهایت، سبدهای رهاشده تنها در بخش مدیریت سایت و توسط مدیر اصلی یا کاربران دیگر با دسترسیهای مدیریتی قابل مشاهده خواهد بود.
مایکی وینسترا، محقق شرکت Defiant میگوید که هکرها با استفاده از آسیبپذیری افزونه، عملیاتی را بهصورت خودکار در وبسایتهای وردپرسی مجهز به ووکامرس اجرا میکنند. در آن حملهها، سبدهای خریدی در فروشگاه آنلاین ایجاد میشود که محصولات آنها، نامهای غیرمعمول یا اشتباه دارند. آنها کدهای نفوذ را در یکی از ردیفهای سبد خرید مخفی میکنند و از وبسایت خارج میشوند. با این روش، کد مخرب قطعا وارد دیتابیس فروشگاه میشود.
پس از آنکه کد مخرب در سبد خرید قرار گرفت، مدیر وبسایت برای بررسی سبدهای رهاشده به افزونه مراجعه میکند. سپس کد مخرب به محض باز شدن صفحهای مشخص از پنل مدیریتی، اجرا میشود. وینسترا میگوید افزونهی امنیتی شرکتش در هفتههای گذشته چندین تلاش برای نفوذ به وبسایتها با استفاده از این روش را ثبت کرده است.
کدهای مخربی که توسط افزونهی امنیتی شناسایی شدند، یک فایل جاوااسکریپت را از آدرسی در bit.ly بارگذاری میکنند. آن فایل، تلاش میکند تا ۲ راه نفوذ را برای ورود به سایتهای آسیبپذیر پیادهسازی کند. اولین راه نفوذ، یک حساب کاربری با دسترسی مدیر کل به هکرها میدهد که نام کاربری آن woouser و ایمیل ثبتنامی، woouser401a[at]mailinator.com خواهد بود. گروه امنیتی، گذرواژهی آن کاربر تقلبی را هم گزارش کردهاند که K1YPRka7b0av1B است.
مسیر ورودی دوم، بسیار زیرکانه طراحی شد که بهندرت در نفوذهای اینچنینی دیده میشود. وینسترا در مصاحبهی خود گفت که در روش دوم، کد مخرب فهرست افزونههای وبسایت را بررسی کرده و آنهایی که توسط مدیر کل غیرفعال شدهاند را شناسایی میکند. هکرها افزونهی هدف را فعال نمیکنند، بلکه محتوای فایل اصلی آن را با اسکریپتی مخرب تعویض میکنند که راه نفوذ را برای دسترسیهای بعدی باز میکند. افزونه غیرفعال میماند، اما از آنجایی که فایلهای آن روی هاست بوده و ازطریق وب ریکوئستها قابل دسترسی هستند، هکرها میتوانند در صورت بسته شدن راه اول (پاک شدن کاربر woouser) ازطریق آن برای نفوذ اقدام کنند.
لینک bit.ly که برای نفوذ مذکور استفاده میشود، تاکنون ۵۲۰۰ مرتبه باز شده است. درنتیجه میتوان پیشبینی کرد که تعداد سایتهای آلوده به چند هزار عدد رسیده باشد. بههرحال، آمار بازدید از آن لینک را نمیتوان دقیق دانست. وینسترا در مصاحبهی خود دربارهی لینک میگوید:
آمارهای Bit.ly میتوانند گمراهکننده باشند، چرا که یک وبسایت آلوده میتواند چندین بار درخواست به آن لینک را تکرار کند. بهعنوان مثال اگر کدهای XSS در داشبورد مدیریتی افزونه باقی بمانند و مدیر چند بار آن را بررسی کند، درخواست به لینک مذکور تکرار میشود.
بهعلاوه، نمیتوان تخمین زد که چند حملهی XSS موفق انجام شده و منتظر مدیر ارشد هستند تا صفحهی مورد نظر را برای اولینبار باز کند.
درباره این سایت