رخنه امنیتی جدید در یکی از پلاگین‌های وردپرس، هزاران وب‌سایت را در معرض خطر قرار داده است

در طول چند روز گذشته، هکرها در حال سوء استفاده از یک آسیب‎پذیری پوشانده نشده در پلاگین وردپرس WP Mobile Detector بوده‎اند که بر روی بیش از 10 هزار وب‎سایت نصب شده است.

روز سه‌شنبه‎ی گذشته توسعه‎دهنده‎ی این پلاگین نقص امنیتی آن را در نسخه‎ی 3.6 برطرف کرد، ولی کاربران علاوه بر آپدیت فوری به این نسخه، باید هم‎چنین بررسی کنند که وب‎سایت آن‎ها هک شده است یا خیر.

این آسیب‎پذیری در اسکریپتی به اسم اسکریپت resize.php واقع شده است و به حمله‎کنندگان از راه دور اجازه می‎دهد فایل‎های دلخواه خود را بر روی وب سرور آپلود کنند. این فایل‎ها می‎توانند اسکریپت‎های درب پشتی باشند که به عنوان پوسته‎های وب شناخته می‎شوند و یک درب پشتی در اختیار حمله‎کنندگان به منظور دسترسی به سرور و توانایی تزریق کد مخرب به صفحات قانونی وب‎سایت کاربر را می‎دهند.

این نقص توسط وب‎سایت امنیت ورردپرس یعنی PluginVulnerabilities.com کشف شد، به دنبال این‎که درخواستی برای آدرس wp-content/plugins/wp-mobile-detector/resize.php مشاهده شد حتی با آن‎که چنین آدرسی روی سرور وجود ندارد. این قضیه نشان داد که شخصی یک اسکن خودکار برای آن فایل خاص را راه‎اندازی کرده، به احتمال زیاد چون نقصی در آن بوده است.

محققان شرکت امنیت وب Sucuri گزارش‎های دیواره‎ی آتشین این شرکت را بررسی کرده و متوجه شدند تلاش‎های مذکور برای ایجاد تخریب از تاریخ 7 خرداد بوده است، یعنی 4 روز پیش از آن‎که بسته‌‎ی امنیتی ارائه شود. احتمال این وجود دارد که حمله‎کنندگان قبل از این تاریخ از این نقص امنیتی با اطلاع بوده‎اند.

پلاگین WP Mobile Detector، که نباید آن را با یک پلاگین امن متفاوت دیگر به اسم WP Mobile Detect اشتباه گرفت، در اواسط اردبیهشت ماه بیش از 10 هزار نصب فعال داشته است. حالا این آمار به حدود 2 هزار کاهش یافته، ولی بعد از کشف این آسیب، این پلاگین موقتا از دایرکتوری پلاگین‎های سایت WordPress.org حذف شد.

طبق گفته‎ی وب‎سایت PluginVulnerabilities یک فاکتور محدود کننده این‎جا به چشم می‎خورد یعنی: برای استفاده از این نقص، قابلیت allow_url_fopen باید روی سرور فعال می‎شده است.

از آن‎جایی که مشخص نیست چه تعداد وب‎سایت هک شده است، افرادی که دارای سایت وردپرسی هستند و از این پلاگین استفاده می‎کنند باید سرورهای خود را برای بررسی نشانه‎های آسیب بررسی کنند.

داگلاس سانتوس از تیم تحقیقاتی سایت Sucuri در پستی در وبلاگ این شرکت گفت “در حال حاضر اکثریت سایت‎های آسیب‎پذیر با درهای پشتی اسپم پ.و.ر.ن آلوده شده‎اند. شما معمولا می‎توانید در ریشه‎ی این سایت‎ها دایرکتوری gopni3g را کشف کنید که حاوی story.php (اسکریپت ایجاد کننده‎ی درب‎ پشتی)، فایل‎.htaccess  و فایل‎های اسپمی در زیر دایرکتوری‎ها و تمپلیت‎ها است.”