بیش از ۱.۲ میلیون سایت وردپرسی در معرض حمله سایبری قرار گرفتند

به گزارش خبرگزاری آنا؛ نکته تامل‌برانگیز در طراحی این بدافزار، هوشمندی مکانیزم فعال‌سازی آن است؛ به طوری که کد‌های مخرب روی کاربران و بازدیدکنندگان عادی وب‌سایت هیچ اثری نمی‌گذارند و تنها زمانی فعال می‌شوند که یک مدیر وب‌سایت وارد پنل مدیریت خود شده و هم‌زمان این اسکریپت مخرب بارگذاری شود. در این حالت، سیستم با سوءاستفاده از نشست فعال مدیر، یک حساب کاربری جدید با دسترسی کامل برای هکر ایجاد کرده و یک افزونه مخفی پنهان از دید ساختار پیشخوان وردپرس را روی سرور نصب می‌کند.

هر سه افزونه تحت مالکیت شرکت Awesome Motive قرار دارند و بر اساس بررسی‌های موسسه امنیتی سان‌سک(Sansec)، مجموع دامنه‌های تحت تاثیر این سه ابزار فراتر از ۱.۲ میلیون وب‌سایت برآورد می‌شود که بخش عمده آن متعلق به OptinMonster با بیش از یک میلیون نصب فعال است.

جزئیات مهندسی حمله و مکانیزم تزریق وب‌شل مخفی

در این آلودگی، فایل‌های اصلی تزریق کد‌های جاوا اسکریپت در شبکه توزیع محتوای این شرکت دستکاری شدند. افزونه پوش‌انگیج، دو فایل اصلی سیستم با نام‌های pushengage-web-sdk.js و pushengage-subscription.js هدف قرار گرفتند و هکر‌ها با دسترسی به زیرساخت، کد‌های مخرب را به جای نسخه اصلی به سایت‌های مقصد فرستادند.

هنگام ورود مدیر سایت، بدافزار با استفاده از اختیارات سطح دسترسی او، حساب ادمین جدیدی برای مهاجم می‌سازد و جزئیات ورود را به یک دامنه جعلی که شباهت ظاهری به یک سرویس چت معروف دارد، ارسال می‌کند. هدف نهایی این حمله، استقرار یک وب‌شل در قالب همان افزونه مخفی است که یک کانال ارتباطی از راه دور ایجاد می‌کند تا هکر بدون نیاز به ورود رسمی، کار‌های مخربی نظیر خواندن و تغییر فایل‌های اصلی سرور، کپی‌برداری از پایگاه داده، تزریق کد‌های اسکیمر کارت‌های بانکی یا هدایت کاربران به سایت‌های مخرب را جلو ببرد.

ابهام در نقطه ورود مهاجمان و فرضیه کلید API

درباره نحوه نفوذ اولیه هکر‌ها میان کارشناسان امنیت شبکه و تیم توسعه پوش‌انگیج اختلاف نظر وجود دارد. طبق بیانیه رسمی پوش‌انگیج، مهاجمان ابتدا از طریق یک روزنه امنیتی شناخته‌شده در افزونه پشتیبان‌گیری آپ‌درفت‌پلاس به سرور سایت بازاریابی این شرکت نفوذ کرده‌اند؛ سروری که کاملاً از دیتابیس مشتریان مجزا است. خطر اصلی وجود یک کلید دسترسی API مربوط به حساب شبکه توزیع محتوا روی این سرور بود که به هکر‌ها اجازه داد بدون نیاز به هک هسته اصلی سیستم، فایل‌های تحویلی به سایت‌های مشتریان را تغییر دهند.

با این حال، موسسه سان‌سک معتقد است منشأ دقیق این رخنه هنوز به طور قطعی مشخص نیست و سرور‌های مرکزی خود شرکت را محتمل‌ترین نقطه شروع می‌داند. در این میان، کارشناسان به کاربران وردپرس توصیه کرده‌اند که با توجه به شناسایی آسیب‌پذیری جدید دور زدن احراز هویت در آپ‌درفت‌پلاس با شناسه CVE-۲۰۲۶-۱۰۷۹۵ و شدت خطر ۸.۱، در اسرع وقت تمام افزونه‌های خود را به‌روزرسانی کنند.

پروتکل‌های پاک‌سازی اضطراری برای وب‌سایت‌های آلوده

تیم مهندسی پوش‌انگیج اعلام کرده است که کد‌های آلوده را حذف، حافظه کش شبکه توزیع محتوا را پاک‌سازی و تمام کلید‌های دسترسی را بازنشانی کرده است. با این حال، به دلیل ماهیت این نوع حملات، مدیران سایت‌هایی که در بازه زمانی مذکور وارد پنل خود شده‌اند باید وب‌سایت خود را کاملاً آلوده فرض کنند. کارشناسان تاکید دارند که بررسی پیشخوان وردپرس برای ردیابی این خرابکاری فاقد اعتبار است، چرا که بدافزار خود را از لیست افزونه‌ها مخفی می‌کند.

برای پاک‌سازی قطعی، مهندسان امنیت شبکه باید ساختار دیتابیس را برای کشف حساب‌های ادمین ناشناس بررسی کنند، کد‌های منبع سرور را با نسخه‌های اصلی وردپرس تطبیق دهند و از حذف کامل وب‌شل‌های احتمالی در لایه‌های پنهان هاست مطمئن شوند؛ زیرا حذف ساده افزونه ظاهری برای قطع دسترسی هکر‌ها کافی نخواهد بود.