احتمال وقوع حملات فیشینگ در سایت‌های WordPress

افزونه‌ای (Plugin) به نام WP HTML Mail که در بیش از 20 هزار سایت مبتنی بر WordPress نصب شده، دارای یک ضعف امنیتی با درجه اهمیت “بالا” (High) می‌باشد و می‌تواند منجر به “تزریق کد” (Code Injection) و عملیات “فریب سایبری” موسوم به فیشینگ (Phishing) شود.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده افزونه مذکور مورد بررسی قرار گرفته است.

WP HTML Mail افزونه‌ای است که به منظور طراحی ایمیل‌های سفارشی، اعلان‌ها و به طور کلی پیام‌های سفارشی که در بسترهای آنلاین برای مخاطبان موجود در فرم تماس (Contact Form) ارسال می‌شود، بکار برده می‌شود. این افزونه با WooCommerceا، Ninja Forms و BuddyPress نیز سازگار می‌باشد.

با وجود این که تعداد سایت‌هایی که از این افزونه استفاده می‌کنند، زیاد نیست ولی بسیاری از آن‌ها مخاطبان زیادی دارند که باعث می‌شود این ضعف امنیتی تعداد قابل توجهی از کاربران اینترنت را مورد هدف قرار دهد. بر اساس گزارشی از گروه تحقیقاتی وردفنس (.Wordfence, inc)، یک مهاجم بدون احراز هویت می‌تواند از ضعف امنیتی به شناسه CVE-2022-0218 سوءاستفاده کرده و با تغییر الگوی ایمیل، داده‌های مورد نظر خود را در آن قرار دهد.

علاوه بر این، مهاجم می‌تواند با بهره‌جویی از همین آسیب‌پذیری، ایمیل‌های فیشینگ را به کاربرانی که در سایت‌های آلوده شده ثبت‌نام کرده‌اند، ارسال کند. اشکال در ثبت دو مسیر از توابع REST-API است که جهت بروزرسانی و بازیابی تنظیمات قالب ایمیل مورد استفاده قرار می‌گیرد. این نقاط پایانی توابع API به اندازه کافی نسبت به دسترسی غیرمجاز محافظت نمی‌شوند، بنابراین حتی کاربران غیرمجاز نیز می‌توانند توابع مذکور را فراخوانی و اجرا کنند.

Wordfence در گزارش خود به نشانی زیر، این مطلب را به تفصیل شرح می‌دهد:

https://www.wordfence.com/blog/2022/01/unauthenticated-xss-vulnerability-patched-in-html-email-template-designer-plugin/

مهاجم همچنین می‌تواند علاوه بر حملات فیشینگ، کد JavaScript مخرب را به قالب ایمیل تزریق کند. در این صورت هر زمانی که مدیر سایت به ویرایشگر HTML ایمیل دسترسی پیدا می‌کند، کد مخرب مذکور اجرا می‌شود. این به طور بالقوه می‌تواند افزودن حساب‌های Admin جدید، هدایت بازدیدکنندگان سایت به سایت‌های فیشینگ، تزریق درب‌های پشتی (Back-door) به فایل‌های قالب (Theme Files) و حتی تصاحب کامل سایت را برای مهاجم تسهیل کند.

محققان وردفنس آسیب‌پذیری موجود در این افزونه را در تاریخ 2 دی 1400 کشف و اطلاع‌رسانی نمودند. بنیاد وردپرس (WordPress.org) در 20 دی به آنها پاسخ داده و در تاریخ 23 دی 1400 با انتشار نسخه 3.1، اقدام به ترمیم ضعف امنیتی مذکور نمود.

به تمامی راهبران امنیتی و مدیران سایت‌های وردپرس توصیه می‌شود در اسرع وقت با مراجعه به نشانی‌های زیر، اقدام به بروزرسانی آخرین نسخه نرم‌افزار WordPress و افزونه WP HTML Mail نمایند.

https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
https://wordpress.org/plugins/wp-html-mail/