تلاش هکرها برای سرقت اطلاعات پایگاه داده بیش از یک میلیون وب سایت وردپرسی
اخیراً در طول یک بازه زمانی 24 ساعته، حمله سایبری بزرگی بر ضد هزاران وب سایت وردپرسی صورت گرفته است. مجرمان از طریق این حمله، تمام تلاش خود را به کار گرفتند تا با سوءاستفاده از آسیبپذیریهای XSS شناخته شده در افزونهها و قالبهای وردپرس، اطلاعات ورود به پایگاه داده این وب سایتها را استخراج کنند.
Ram Gall تحلیلگر تهدیدهای امنیتی و مهندس تضمین کیفیت شرکت “Wordfence”، درباره این حمله گفته است که: «بین 29 تا 31 ماه مارس سال 2020، فایروال Wordfence چیزی نزدیک به 130 میلیون حمله به پایگاه داده وب سایت های وردپرسی را مسدود کرد. این حمله ها با هدف سرقت اطلاعات ورود به این وب سایت ها بود و از طریق دانلود فایلهای پیکربندی آنها صورت گرفت».
مهاجمان در این حمله ها سعی داشتند فایل پیکربندی وردپرس، یعنی wp-config.php را دانلود کنند. این فایل حاوی اطلاعات ورود به پایگاه داده، کلیدهای احراز هویت، کلیدهای salt و اطلاعات مربوط به اتصال به پایگاه داده است.
اگر این مهاجمان موفق به سوءاستفاده از افزونههای آسیبپذیر مورد استفاده سایتهای هدف می شدند، امکان سرقت اطلاعات ورود به پایگاه داده و تصاحب این وب سایتها به سادگی امکان پذیر بود.
Gall در ادامه توضیحات خود می گوید: «نشانه هایی از حملههای این کمپین، در فایل لاگ سرورها قابل مشاهده است. برای شناسایی این نشانه ها باید به دنبال رکوردهای لاگی باشید که در بخشی از نشانی وب (URL) آنها عبارت wp-config.php وجود داشته باشد».
یک مهاجم، عامل اجرای چندین حمله بزرگ بر ضد وردپرس
محققان با توجه به 20 هزار آدرس آیپی مورد استفاده برای اجرای چنین حمله بزرگی توانستند آن را به حملات دیگری که در ماه های گذشته بر ضد صدها هزار وب سایت وردپرسی آسیبپذیر شروع شده بود، نسبت دهند.
در حمله های قبلی، مهاجم سعی داشت با استفاده از آسیبپذیریهای تزریق کد بین سایتی (XSS) در افزونههای آسیبپذیری که ماهها یا حتی سالها پیش اصلاح شده بودند، در وب سایتها از درب پشتی استفاده کرده یا بازدیدکنندگان را به سمت وب سایتهای مخرب هدایت کند.
مدیران و مالکان وب سایتهای وردپرسی می بایست برای مقابله با چنین حملاتی، تمامی قالبها و افزونه های نصب شده بر روی وب سایت خود را به روز نگه دارند تا آن دسته از آسیبپذیریهایی که چنین مهاجمانی سعی به سوءاستفاده از آنها را دارند، رفع شود.
مدیران وب سایت های وردپرسی همچنین باید افزونهها و قالب هایی که از بخش مدیریت سایت خود حذف شده اند را غیرفعال یا حذف کنند؛ چرا که پشتیبانی از آنها به پایان رسیده و ممکن است آسیبپذیریهایی در نسخه های قدیمی آنها وجود داشته باشد که هیچ وقت شناسایی و اصلاح نشده اند.
منبع: bleepingcomputer