هکرها با کمک افزونه‌های آسیب‌پذیر وردپرس حمله می‌کنند

یک کارزار گسترده سوءاستفاده از وب‌سایت‌های وردپرسی با اجرای افزونه‌های GutenKit و Hunk Companion ، که دارای آسیب‌پذیری‌های قدیمی و با شدت بحرانی هستند و امکان اجرای کد از راه دور (RCE) را برای مهاجمان فراهم می‌کند، در جریان است.

به گزارش افتانا، شرکت امنیت سایبری وردپرس Wordfence اعلام کرده که تنها در دو روز، ۸.۷ میلیون تلاش حمله علیه مشتریان خود را مسدود کرده است. این حملات از سه آسیب‌پذیری بهره می‌برند که با شناسه‌های CVE-2024-9234، CVE-2024-9707 و CVE-2024-11972 ثبت شده و هر سه در سطح بحرانی (CVSS 9.8) ارزیابی شده‌اند.

آسیب‌پذیری CVE-2024-9234 مربوط به افزونه GutenKit با حدود ۴۰ هزار نصب است و به مهاجمان اجازه می‌دهد بدون احراز هویت، افزونه‌های دلخواه را نصب کنند. دو آسیب‌پذیری دیگر، CVE-2024-9707 و CVE-2024-11972، در افزونه Hunk Companion (۸ هزار نصب) وجود دارند و نقص‌های عدم تأیید هویت در endpoint مربوط به themehunk-import ایجاد می‌کنند که نصب افزونه‌های دلخواه را نیز امکان‌پذیر می‌سازند.

مهاجمان احراز هویت‌شده می‌توانند از این آسیب‌پذیری‌ها برای اضافه کردن افزونه‌های آسیب‌پذیر دیگر استفاده کرده و اجرای کد از راه دور را ممکن کنند. نسخه‌های آسیب‌پذیر شامل GutenKit 2.1.0 و نسخه‌های قدیمی‌تر و Hunk Companion 1.8.5 و قبل از آن هستند. نسخه‌های اصلاح‌شده این افزونه‌ها به ترتیب در GutenKit 2.1.1 (اکتبر ۲۰۲۴) و Hunk Companion 1.9.0 (دسامبر ۲۰۲۴) منتشر شده‌اند، اما هنوز بسیاری از وب‌سایت‌ها از نسخه‌های قدیمی استفاده می‌کنند.

مطالعات Wordfence نشان می‌دهد مهاجمان نسخه‌های مخرب افزونه را روی GitHub منتشر کرده‌اند. این بسته‌ها شامل اسکریپت‌های رمزگذاری‌شده‌ای هستند که امکان آپلود، دانلود و حذف فایل‌ها، تغییر مجوزها و ورود خودکار مهاجم به عنوان مدیر سایت را فراهم می‌کنند. این ابزارها به مهاجمان اجازه می‌دهد تا دسترسی دائمی داشته باشند، فایل‌ها را سرقت یا حذف کنند، دستورات اجرایی بدهند و داده‌های خصوصی سایت را جمع‌آوری کنند.

هنگامی که مهاجمان دسترسی مستقیم به درِ پشتی مدیریتی نداشته باشند، اغلب افزونه آسیب‌پذیر wp-query-console را نصب می‌کنند که امکان اجرای RCE بدون احراز هویت را فراهم می‌کند. Wordfence فهرستی از آدرس‌های IP ارسال‌کننده حجم بالای درخواست‌های مخرب منتشر کرده است تا مدیران سایت بتوانند اقدامات دفاعی مناسبی ایجاد کنند. همچنین به مدیران توصیه شده است که در لاگ‌های دسترسی سایت به دنبال درخواست‌هایی با مسیرهای /wp-json/gutenkit/v1/install-active-plugin و /wp-json/hc/v1/themehunk-import باشند و دایرکتوری‌های /up، /background-image-cropper، /ultra-seo-processor-wp، /oke و /wp-query-console را برای هرگونه فایل مشکوک بررسی کنند.

کارشناسان امنیتی توصیه می‌کنند که تمام افزونه‌های وردپرس همیشه به آخرین نسخه منتشرشده توسط سازنده به‌روزرسانی شوند تا از سوءاستفاده‌های مشابه جلوگیری شود.