مهاجمان بهطور گسترده در حال بهرهجویی از یک آسیبپذیری حیاتی در افزونه File Manager سامانه WordPress هستند.
File Manager، افزونهای (Plugin) برای مدیریت فایلهای سایتهای مبتنی بر WordPress است.
به گزارش شرکت مهندسی شبکه گستر، آسیبپذیری مذکور که بر اساس استاندارد CVSS به آن بالاترین شدت حساسیت (10 از 10) تخصیص داده شده، ضعفی از نوع “اجرای کد بهصورت از راه دور” (Remote Code Execution) است که مهاجم اصالتسنجی نشده را قادر به تزریق و اجرای اسکریپتهای مخرب در سایتهای با افزونه آسیبپذیر File Manager میکند.
چند ساعت پس از اطلاع از وجود این آسیبپذیری در File Manager و بهرهجویی مهاجمان از آن، نویسندگان این افزونه اقدام به ترمیم باگ و انتشار نسخه 6.9 کردند.
بر طبق اعلامیه Wordfence دیواره آتش این تیم امنیتی (Web Application Firewall) ظرف چند روز گذشته، 450 هزار تلاش برای بهرهجویی (Exploit) از این آسیبپذیری را مسدود کرده که از گسترده بودن دامنه این حملات حکایت دارد.
بهنظر میرسد در مرحله شناسایی، مهاجمان تلاش میکنند که فایلهایی خالی را در سایتهای بالقوه آسیبپذیر آپلود کنند؛ در صورت قابل آپلود بودن فایل (آسیبپذیر بودن سایت) در ادامه اسکریپتهای مخرب مورد نظر خود را در سایت تزریق میکنند.
نکته جالب اینکه در صورت موفقیت در رخنه به سایت، مهاجمان با تخصیص رمز عبور به فایلهای در معرض نفوذ، از مورد بهرهجویی قرار گرفتن مجدد آنها توسط همقطاران خود جلوگیری میکنند.
به کلیه مدیران و راهبران سایتها توصیه میشود که در اسرع وقت نسبت به بهروزرسانی افزونه File Manager اقدام کنند.
مشروح گزارش Wordfence در لینک زیر قابل دریافت و مطالعه است:
نشانههای آلودگی (IoC)
وجود هر یک از فایلهای زیر در مسیر wp-content/plugins/wp-file-manager/lib/filesو/:
- hardfork.php
- hardfind.php
- x.php
ارسال درخواست از نشانی های زیر:
- 185.222.57.183
- 185.81.157.132
- 185.81.157.112
- 185.222.57.93
- 185.81.157.177
- 185.81.157.133