حذر باحثون من أن ثغرة خطيرة موجودة في عشرات الآلاف من مواقع WordPress يتم إساءة استخدامها حاليا.
اكتشف متخصصو الأمن من فريق Wordfence Threat Intelligence مؤخرًا ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) remote code execution في مكون إضافي (plugin) لمنصة CMS الشهيرة، والتي تسمى Tatsu Builder.
تم تتبع الثغرة الأمنية CVE-2021-25094، وتم رصدها لأول مرة في أواخر مارس من هذا العام. إنه موجود في كل من الإصدارات المجانية والمتميزة من مكون WordPress الإضافي.
نشر البرامج الضارة
يستخدم المهاجمون الخلل في مكون WordPress الإضافي لنشر قطارة (dropper)، والتي تقوم فيما بعد بتثبيت برامج ضارة إضافية. عادةً ما يتم وضع القطارة في مجلد فرعي عشوائي في wp-content/ uploads/ typehub/ custom /.
يبدأ اسم الملف برمز كامل يشير إلى ملف مخفي. يقول الباحثون إن هذا ضروري لاستغلال الثغرة الأمنية، لأنها تستفيد من حالة العرق.
نظرًا لأن المكون الإضافي غير مدرج في مستودع WordPress.org، كما يقول Wordfence، فإن تحديد عدد مواقع الويب التي تم تثبيتها بالضبط أمر صعب للغاية. ومع ذلك، تقدر الشركة أن ما بين 20000 و 50000 موقع يستخدم Tatsu Builder.
على الرغم من تحذير المسؤولين من الخلل منذ حوالي عشرة أيام، يعتقد Wordfence أن ربع هذا الخطأ على الأقل لا يزال معرضًا للخطر، مما يعني أنه لا يزال من الممكن مهاجمة ما بين 5000 و 12500 موقع.
ويقول الباحثون إن الهجمات التي بدأت قبل أسبوع ما زالت مستمرة، مضيفين أن حجم الهجوم بلغ ذروته وانخفض منذ ذلك الحين.
يقوم معظمهم بالتحقيق في الهجمات، والتي تسعى إلى تحديد ما إذا كان الموقع عرضة للخطر أم لا. على ما يبدو، جاءت معظم الهجمات من ثلاثة عناوين IP مختلفة فقط.
يجب على المسؤولين الذين لديهم فضول لمعرفة ما إذا كان قد تم استهدافهم التحقق من سجلاتهم بحثًا عن سلسلة الاستعلام التالية: /wp-admin/admin-ajax.php؟action=add_custom_font
يتم حث أولئك الذين تم تثبيت المكون الإضافي Tatsu Builder على التحديث إلى أحدث إصدار (3.3.13) في أقرب وقت ممكن.
اكتشف متخصصو الأمن من فريق Wordfence Threat Intelligence مؤخرًا ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) remote code execution في مكون إضافي (plugin) لمنصة CMS الشهيرة، والتي تسمى Tatsu Builder.
تم تتبع الثغرة الأمنية CVE-2021-25094، وتم رصدها لأول مرة في أواخر مارس من هذا العام. إنه موجود في كل من الإصدارات المجانية والمتميزة من مكون WordPress الإضافي.
نشر البرامج الضارة
يستخدم المهاجمون الخلل في مكون WordPress الإضافي لنشر قطارة (dropper)، والتي تقوم فيما بعد بتثبيت برامج ضارة إضافية. عادةً ما يتم وضع القطارة في مجلد فرعي عشوائي في wp-content/ uploads/ typehub/ custom /.
يبدأ اسم الملف برمز كامل يشير إلى ملف مخفي. يقول الباحثون إن هذا ضروري لاستغلال الثغرة الأمنية، لأنها تستفيد من حالة العرق.
نظرًا لأن المكون الإضافي غير مدرج في مستودع WordPress.org، كما يقول Wordfence، فإن تحديد عدد مواقع الويب التي تم تثبيتها بالضبط أمر صعب للغاية. ومع ذلك، تقدر الشركة أن ما بين 20000 و 50000 موقع يستخدم Tatsu Builder.
على الرغم من تحذير المسؤولين من الخلل منذ حوالي عشرة أيام، يعتقد Wordfence أن ربع هذا الخطأ على الأقل لا يزال معرضًا للخطر، مما يعني أنه لا يزال من الممكن مهاجمة ما بين 5000 و 12500 موقع.
ويقول الباحثون إن الهجمات التي بدأت قبل أسبوع ما زالت مستمرة، مضيفين أن حجم الهجوم بلغ ذروته وانخفض منذ ذلك الحين.
يقوم معظمهم بالتحقيق في الهجمات، والتي تسعى إلى تحديد ما إذا كان الموقع عرضة للخطر أم لا. على ما يبدو، جاءت معظم الهجمات من ثلاثة عناوين IP مختلفة فقط.
يجب على المسؤولين الذين لديهم فضول لمعرفة ما إذا كان قد تم استهدافهم التحقق من سجلاتهم بحثًا عن سلسلة الاستعلام التالية: /wp-admin/admin-ajax.php؟action=add_custom_font
يتم حث أولئك الذين تم تثبيت المكون الإضافي Tatsu Builder على التحديث إلى أحدث إصدار (3.3.13) في أقرب وقت ممكن.
