بنیاد وردپرس (Woprdpress.org)، در اقدامی نادر، افزونه UpdraftPlus را در تمام سایتهای مبتنی بر WordPress به طور مستقیم و به اجبار به روز نمود تا یک آسیبپذیری با شناسه CVE-2022-0633 و دارای درجه اهمیت از نوع “بالا” (High) را برطرف کند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده افزونه مذکور مورد بررسی قرار گرفته است.
ضعف امنیتی مذکور دارای درجه شدت 8.5 از 10 (بر طبق استاندارد CVSS) میباشد و به مشترکین سایت، کاربران با سطح دسترسی پایین و سایر کاربران غیرمجاز اجازه میدهد تا زمانی که در سایت آسیبپذیر حساب کاربری دارند، آخرین نسخه پشتیبان از پایگاه داده خصوصی سایت را دریافت کنند. پایگاههای داده مذکور اغلب شامل اطلاعات حساس مشتریان یا تنظیمات امنیتی سایت میباشند و دسترسی غیرمجاز به این پایگاههای داده میتواند میلیونها سایت را در معرض افشای جدی دادههایی همچون رمزهای عبور، نامهای کاربری و نشانیهای IP قرار دهد.
سه میلیون سایت از این افزونه محبوب WordPress استفاده میکنند، بنابراین احتمال بهرهجویی از ضعف امنیتی مذکور بسیار زیاد میباشد و بر سهم قابل توجهی از اینترنت تأثیر میگذارد.
نسخههای 1/16/7 تا 1/22/2 افزونه UpdraftPlus از این آسیبپذیری تأثیر میپذیرند و نسخههای 1.22.3 یا 2.22.3 (برای نسخه Premium) جهت ترمیم این ضعف امنیتی منتشر شدهاند.
افزونه UpdraftPlus به سادهسازی فرآیند پشتیبانگیری و بازیابی از طریق توابع پشتیبانگیری زمانبندی شده کمک میکند و قابلیت دریافت خودکار را در نشانی ایمیل معتبر ارائه میدهد.
به دلیل اشکالات یافت شده در این افزونه، هر یک از کاربران تایید شده که دارای سطوح دسترسی پایین میباشند، میتوانند ضمن ایجاد لینکی معتبر، فایلهای پشتیبان را دریافت کنند. مشکل اعتبارسنجی نامناسب کاربران به داشتن یا نداشتن امتیازات لازم برای دسترسی به دو شناسه Nonce Identifier و Timestamp مربوط میشود.
حمله با ارسال درخواستی جهت دستیابی به اطلاعات آخرین نسخه پشتیبان، شروع میشود. مهاجم با داشتن این اطلاعات، تابع “Send Backup via Email” را فعال میکند. این تابع معمولاً فقط در اختیار مدیر سایت است، اما با وجود این آسیبپذیری، هر کسی که یک حساب کاربری در سایت مورد نظر دارد میتواند بدون محدودیت به آن دسترسی داشته باشد زیرا بررسی مجوز و احراز هویت صورت نمیگیرد.
طبق اعلام سایت رسمی Updraft تاکنون موردی از سوءاستفاده از این ضعف امنیتی گزارش نشده است ولی برای ظهور و انتشار یک نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) تنها لازم است یک هکر اصلاحیه و بروزرسانی اعمال شده در آخرین نسخه ارائه شده از افزونه UpdraftPlus را مهندسی معکوس کند.
علاوه بر این، محققان در گزارش خود عنوان نمودهاند که در نسخههای آسیبپذیر افزونه، قابلیتهایی برای کنترل غیرمستقیم وجود دارد، اما این کنترلها برای متوقف کردن یک مهاجم ماهر کافی نمیباشند.
جزییات بیشتر درباره اصلاحیه منتشر شده، در نشانی زیر قابل مطالعه است.
https://updraftplus.com/updraftplus-security-release-1-22-3-2-22-3/
لازم به ذکر است که این ضعف امنیتی در 25 بهمن 1400 کشف شد و بلافاصله در 27 بهمن، توسعهدهندگان این افزونه محبوب، نسخه 1.22.3 را جهت ترمیم آن ارائه دادند. طبق آمار، در همان روز 783 هزار از این افزونه و در 28 بهمن، 1.7 میلیون از این افزونه بطور اجباری توسط بنیاد وردپرس بروزرسانی شدند.
به نقل از محققان امنیتی، این یکی از موارد بسیار نادر و استثنایی است که بنیاد وردپرس تمامی سایتها را بدون توجه به تنظیمات آنها، بصورت خودکار بروزرسانی کرده است.
مدیران سایتها میتوانند بروزرسانی را بصورت دستی و از طریق داشبورد انجام دهند. آخرین نسخه موجود و پیشنهادی، نسخه 1.22.4 میباشد که جزییات آن در نشانی زیر قابل مطالعه است.
https://wordpress.org/plugins/updraftplus/
توجه داشته باشید که این آسیبپذیری هیچ خطری برای سایتهایی که راهکاری برای ورود کاربران ندارند یا هیچ نسخه پشتیبانی نگهداری نمیکنند، ایجاد نمیکند.
منبع: