نماد سایت اتاق خبر شبکه گستر

بروزرسانی اجباری WordPress

بنیاد وردپرس (Woprdpress.org)، در اقدامی نادر، افزونه UpdraftPlus را در تمام سایت‌های مبتنی بر WordPress به طور مستقیم و به اجبار به روز نمود تا یک آسیب‌پذیری با شناسه CVE-2022-0633 و دارای درجه اهمیت از نوع “بالا” (High) را برطرف کند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده افزونه مذکور مورد بررسی قرار گرفته است.

ضعف امنیتی مذکور دارای درجه شدت 8.5 از 10 (بر طبق استاندارد CVSS) می‌باشد و به مشترکین سایت، کاربران با سطح دسترسی پایین و سایر کاربران غیرمجاز اجازه می‌دهد تا زمانی که در سایت آسیب‌پذیر حساب کاربری دارند، آخرین نسخه پشتیبان از پایگاه داده خصوصی سایت را دریافت کنند. پایگاه‌های داده مذکور اغلب شامل اطلاعات حساس مشتریان یا تنظیمات امنیتی سایت می‌باشند و دسترسی غیرمجاز به این پایگاه‌های داده‌ می‌تواند میلیون‌ها سایت را در معرض افشای جدی داده‌هایی همچون رمزهای عبور، نام‌های کاربری و نشانی‌های IP قرار دهد.

سه میلیون سایت از این افزونه محبوب WordPress استفاده می‌کنند، بنابراین احتمال بهره‌جویی از ضعف امنیتی مذکور بسیار زیاد می‌باشد و بر سهم قابل توجهی از اینترنت تأثیر می‌گذارد.

نسخه‌های 1/16/7 تا 1/22/2 افزونه UpdraftPlus از این آسیب‌پذیری تأثیر می‌پذیرند و نسخه‌های 1.22.3 یا 2.22.3 (برای نسخه Premium) جهت ترمیم این ضعف امنیتی منتشر شده‌اند.

افزونه UpdraftPlus به ساده‌سازی فرآیند پشتیبان‌گیری و بازیابی از طریق توابع پشتیبان‌گیری زمان‌بندی ‌شده کمک می‌کند و قابلیت دریافت خودکار را در نشانی ایمیل معتبر ارائه می‌دهد.

به دلیل اشکالات یافت شده در این افزونه، هر یک از کاربران تایید شده که دارای سطوح دسترسی پایین می‌باشند، می‌توانند ضمن ایجاد لینکی معتبر، فایل‌های پشتیبان را دریافت کنند. مشکل اعتبارسنجی نامناسب کاربران به داشتن یا نداشتن امتیازات لازم برای دسترسی به دو شناسه Nonce Identifier و Timestamp مربوط می‌شود.

حمله با ارسال درخواستی جهت دستیابی به اطلاعات آخرین نسخه پشتیبان، شروع می‌شود. مهاجم با داشتن این اطلاعات، تابع “Send Backup via Email” را فعال می‌کند. این تابع معمولاً فقط در اختیار مدیر سایت است، اما با وجود این آسیب‌پذیری، هر کسی که یک حساب کاربری در سایت مورد نظر دارد می‌تواند بدون محدودیت به آن دسترسی داشته باشد زیرا بررسی مجوز و احراز هویت صورت نمی‌گیرد.

طبق اعلام سایت رسمی Updraft تاکنون موردی از سوءاستفاده از این ضعف امنیتی گزارش نشده است ولی برای ظهور و انتشار یک نمونه اثبات‌گر (Proof-of-Concept – به اختصار PoC) تنها لازم است یک هکر اصلاحیه و بروزرسانی اعمال شده در آخرین نسخه ارائه شده از افزونه UpdraftPlus را مهندسی معکوس کند.

علاوه بر این، محققان در گزارش خود عنوان نموده‌اند که در نسخه‌های آسیب‌پذیر افزونه، قابلیت‌هایی برای کنترل غیرمستقیم وجود دارد، اما این کنترل‌ها برای متوقف کردن یک مهاجم ماهر کافی نمی‌باشند.

جزییات بیشتر درباره اصلاحیه منتشر شده، در نشانی زیر قابل مطالعه است.

https://updraftplus.com/updraftplus-security-release-1-22-3-2-22-3/

لازم به ذکر است که این ضعف امنیتی در 25 بهمن 1400 کشف شد و بلافاصله در 27 بهمن، توسعه‌دهندگان این افزونه محبوب، نسخه 1.22.3 را جهت ترمیم آن ارائه دادند. طبق آمار، در همان روز 783 هزار از این افزونه و در 28 بهمن، 1.7 میلیون از این افزونه بطور اجباری توسط بنیاد وردپرس بروزرسانی شدند.

به نقل از محققان امنیتی، این یکی از موارد بسیار نادر و استثنایی است که بنیاد وردپرس تمامی سایت‌ها را بدون توجه به تنظیمات آنها، بصورت خودکار بروزرسانی کرده است.

مدیران سایت‌ها می‌توانند بروزرسانی را بصورت دستی و از طریق داشبورد انجام دهند. آخرین نسخه موجود و پیشنهادی، نسخه 1.22.4 می‌باشد که جزییات آن در نشانی زیر قابل مطالعه است.

https://wordpress.org/plugins/updraftplus/

توجه داشته باشید که این آسیب‌پذیری هیچ خطری برای سایت‌هایی که راهکاری برای ورود کاربران ندارند یا هیچ نسخه پشتیبانی نگهداری نمی‌کنند، ایجاد نمی‌کند.

 

منبع:

https://www.bleepingcomputer.com/news/security/wordpress-force-installs-updraftplus-patch-on-3-million-sites/

خروج از نسخه موبایل