تلاش هکرها برای سرقت اطلاعات پایگاه داده بیش از یک میلیون وب سایت وردپرسی

اخیراً در طول یک بازه زمانی 24 ساعته، حمله‌ سایبری بزرگی بر ضد هزاران وب سایت وردپرسی صورت گرفته است. مجرمان از طریق این حمله، تمام تلاش خود را به کار گرفتند تا با سوءاستفاده از آسیب‌پذیری‌های XSS شناخته شده در افزونه‌ها و قالب‌های وردپرس، اطلاعات ورود به پایگاه داده این وب سایت‌ها را استخراج کنند.

Ram Gall تحلیلگر تهدیدهای امنیتی و مهندس تضمین کیفیت شرکت “Wordfence”، درباره این حمله گفته است که: «بین 29 تا 31 ماه مارس سال 2020، فایروال Wordfence چیزی نزدیک به 130 میلیون حمله به پایگاه داده وب سایت های وردپرسی را مسدود کرد. این حمله ها با هدف سرقت اطلاعات ورود به این وب سایت ها بود و از طریق دانلود فایل‌های پیکربندی آنها صورت گرفت».

مهاجمان در این حمله ها سعی داشتند فایل پیکربندی وردپرس، یعنی wp-config.php را دانلود کنند. این فایل حاوی اطلاعات ورود به پایگاه داده، کلیدهای احراز هویت، کلیدهای salt و اطلاعات مربوط به اتصال به پایگاه داده است.

اگر این مهاجمان موفق به سوءاستفاده از افزونه‌های آسیب‌پذیر مورد استفاده سایت‌های هدف می شدند، امکان سرقت اطلاعات ورود به پایگاه داده و تصاحب این وب سایت‌ها به سادگی امکان پذیر بود.

Gall در ادامه توضیحات خود می گوید: «نشانه هایی از حمله‌های این کمپین، در فایل لاگ سرورها قابل مشاهده است. برای شناسایی این نشانه ها باید به دنبال رکوردهای لاگی باشید که در بخشی از نشانی وب (URL) آنها عبارت wp-config.php وجود داشته باشد».

 

یک مهاجم، عامل اجرای چندین حمله بزرگ بر ضد وردپرس

محققان با توجه به 20 هزار آدرس آی‌پی مورد استفاده برای اجرای چنین حمله بزرگی توانستند آن را به حملات دیگری که در ماه های گذشته بر ضد صدها هزار وب سایت وردپرسی آسیب‌پذیر شروع شده بود، نسبت دهند.

در حمله های قبلی، مهاجم سعی داشت با استفاده از آسیب‌پذیری‌های تزریق کد بین سایتی (XSS) در افزونه‌های آسیب‌پذیری که ماه‌ها یا حتی سال‌ها پیش اصلاح شده بودند، در وب سایت‌ها از درب پشتی استفاده کرده یا بازدیدکنندگان را به سمت وب سایت‌های مخرب هدایت کند.

مدیران و مالکان وب سایت‌های وردپرسی می بایست برای مقابله با چنین حملاتی، تمامی قالب‌ها و افزونه های نصب شده بر روی وب سایت خود را به روز نگه دارند تا آن دسته از آسیب‌پذیری‌هایی که چنین مهاجمانی سعی به سوءاستفاده از آنها را دارند، رفع شود.

مدیران وب سایت های وردپرسی همچنین باید افزونه‌ها و قالب هایی که از بخش مدیریت سایت خود حذف شده اند را غیرفعال یا حذف کنند؛ چرا که پشتیبانی از آنها به پایان رسیده و ممکن است آسیب‌پذیری‌هایی در نسخه های قدیمی آنها وجود داشته باشد که هیچ وقت شناسایی و اصلاح نشده اند.

 

منبع: bleepingcomputer