بهره‌جویی گسترده مهاجمان از آسیب‌پذیری روز-صفر WordPress

مهاجمان به‌طور گسترده در حال بهره‌جویی از یک آسیب‌پذیری حیاتی در افزونه File Manager سامانه WordPress هستند.

File Manager، افزونه‌ای (Plugin) برای مدیریت فایل‌های سایت‌های مبتنی بر WordPress است.

به گزارش شرکت مهندسی شبکه گستر، آسیب‌پذیری مذکور که بر اساس استاندارد CVSS به آن بالاترین شدت حساسیت (10 از 10) تخصیص داده شده، ضعفی از نوع “اجرای کد به‌صورت از راه دور” (Remote Code Execution) است که مهاجم اصالت‌سنجی نشده را قادر به تزریق و اجرای اسکریپت‌های مخرب در سایت‌های با افزونه آسیب‌پذیر File Manager می‌کند.

چند ساعت پس از اطلاع از وجود این آسیب‌پذیری در File Manager و بهره‌جویی مهاجمان از آن، نویسندگان این افزونه اقدام به ترمیم باگ و انتشار نسخه 6.9 کردند.

بر طبق اعلامیه Wordfence دیواره آتش این تیم امنیتی (Web Application Firewall) ظرف چند روز گذشته، 450 هزار تلاش برای بهره‌جویی (Exploit) از این آسیب‌پذیری را مسدود کرده که از گسترده بودن دامنه این حملات حکایت دارد.

به‌نظر می‌رسد در مرحله شناسایی، مهاجمان تلاش می‌کنند که فایل‌هایی خالی را در سایت‌های بالقوه آسیب‌پذیر آپلود کنند؛ در صورت قابل آپلود بودن فایل (آسیب‌پذیر بودن سایت) در ادامه اسکریپت‌های مخرب مورد نظر خود را در سایت تزریق می‌کنند.

نکته جالب اینکه در صورت موفقیت در رخنه به سایت، مهاجمان با تخصیص رمز عبور به فایل‌های در معرض نفوذ، از مورد بهره‌جویی قرار گرفتن مجدد آنها توسط هم‌قطاران خود جلوگیری می‌کنند.

به کلیه مدیران و راهبران سایت‌ها توصیه می‌شود که در اسرع وقت نسبت به به‌روزرسانی افزونه File Manager اقدام کنند.

مشروح گزارش Wordfence در لینک زیر قابل دریافت و مطالعه است:

https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/

نشانه‌های آلودگی (IoC)

وجود هر یک از فایل‌های زیر در مسیر wp-content/plugins/wp-file-manager/lib/filesو/:

• hardfork.php
• hardfind.php
• x.php

ارسال درخواست از نشانی های زیر:

• 185.222.57.183
• 185.81.157.132
• 185.81.157.112
• 185.222.57.93
• 185.81.157.177
• 185.81.157.133