قال باحثون إن متسللين يستغلون بشكل نشط ثغرة تسمح لهم بتنفيذ أوامر ونصوص ضارة على مواقع الويب التي تشغل مدير الملفات File Manager ، وهو مكون إضافي لمواقع وورد برس مثبت في أكثر من 700000 موقع، وجاءت أنباء الهجمات بعد ساعات قليلة من إصلاح الخلل الأمني.
يستخدم المهاجمون هذه الاستغلال لتحميل الملفات التي تحتوي على ملفات مستترة ، ولديهم واجهة ملائمة تسمح لهم بتشغيل الأوامر في plugins/wp-file-manager/lib/files/ ، الدليل الذي يوجد به البرنامج المساعد مدير الملفات "File Manager"، على الرغم من أن هذا التقييد يمنع المتسللين من تنفيذ أوامر على ملفات خارج الدليل، فقد يتمكن المتسللون من إلحاق المزيد من الضرر عن طريق تحميل نصوص برمجية يمكنها تنفيذ إجراءات على أجزاء أخرى في موقع ضعيف.
وكانت شركة NinTechNet وهي شركة أمن لمواقع الإنترنت في بانكوك بتايلاند، من بين اوائل من أبلغ عن الهجمات وذكرت الشركة في منشور أن أحد المتسللين كان يستغل الثغرة الأمنية لتحميل نص برمجي بعنوان hardfork.php ثم استخدامه لحقن كود في نصوص /wp-admin/admin-ajax.php و /wp-includes/user.php .
في رسالة بالبريد الإلكتروني كتب جيروم برانديت الرئيس التنفيذي لشركة NinTechNet:
"من السابق لأوانه معرفة التأثير لأنه عندما اكتشفنا الهجوم، كان المتسللون يحاولون فقط إخفاء مواقع الويب، ومع ذلك هناك شيء مثير للاهتمام لاحظناه هو أن المهاجمين كانوا يضخون بعض التعليمات البرمجية لحماية الوصول إلى الملف الضعيف بكلمة مرور (connector.minimal.php) حتى لا تتمكن مجموعات أخرى من المتسللين من استغلال الثغرة الأمنية على المواقع المصابة بالفعل.
يمكن تشغيل جميع الأوامر في مجلد /lib/files (إنشاء مجلدات وحذف الملفات وما إلى ذلك) ، ولكن المشكلة الأكثر أهمية هي أنه يمكنهم تحميل نصوص PHP إلى هذا المجلد أيضًا ، ثم تشغيلهم والقيام بكل ما يريدون.
حتى الآن يقومون بتحميل "FilesMan" ، وهو مدير ملفات آخر يستخدمه المتسللون غالبًا. هذا واحد غامض للغاية. في الساعات والأيام القليلة القادمة، سنرى ما سيفعلونه بالضبط، لأنهم إذا قاموا بحماية الملف الضعيف بكلمة مرور لمنع المتسللين الآخرين من استغلال الثغرة الأمنية، فمن المحتمل أنهم يتوقعون العودة لزيارة المواقع المصابة".
في خضم ذلك قالت شركة Wordfence لأمن مواقع الويب إنها منعت أكثر من 450 ألف محاولة استغلال في الأيام القليلة الماضية، وذكرت أن المهاجمين يحاولون حقن ملفات مختلفة، في بعض الحالات كانت هذه الملفات فارغة، على الأرجح هي محاولة للبحث عن المواقع المعرضة للخطر ، وإذا نجحت فيتم إدخال ملف ضار لاحقًا، الملفات التي يتم تحميلها لها أسماء تشمل hardfork.php و hardfind.php و x.php.
يكمن الخلل الأمني في إصدارات File Manager من 6.0 إلى 6.8 وتظهر الإحصائيات من وورد برس أن حوالي 52 بالمائة من التثبيتات معرضة للخطر حاليًا، نظرًا لأن أكثر من نصف قاعدة File Manager المثبتة التي تضم 700000 موقع معرضة للخطر، فإن الإحتمال كبير لحدوث ضرر، لذلك يجب تحديث المواقع التي تقوم بتشغيل أي من هذه الإصدارات إلى أحدث إصدار 6.9 في أقرب وقت ممكن.
تعليقات
إرسال تعليق