1397-12-22
اخبار
بازدید : 669
فروشگاههای اینترنتی وردپرسی مورد حملات سایبری
حملات شدید سایبری به فروشگاههای اینترنی وردپرسی
مجرمان سایبری از یک افزونهی سبد خرید در پلتفرم وردپرس استفاده میکنند تا حفرهی ورودی به فروشگاههای آنلاین پیدا کرده و آنها را در اختیار بگیرند.
وبسایتهای فروشگاههایی مبتنی بر وردپرس، توسط گروهی از مجرمان سایبری تحت حملات شدید قرار گرفتهاند. آنها از آسیبپذیری یک افزونهی سبد خرید فروشگاهی استفاده میکنند تا راههای نفوذی را به وبسایتهای فروشگاهی باز کنند و درنهایت، کنترل فروشگاه اینترنتی را در دست بگیرند. گزارش شرکت امنیتی Defiant نشان میدهد که حملات هماکنون نیز ادامه دارند. آن شرکت، عرضهکنندهی یک افزونهی امنیتی بهنام Wordefence برای وبسایتهای وردپرسی است.
گزارش امنیتی میگوید که مجرمان سایبری از افزونهی سبد فروشگاهی بهنام Abandoned Cart Lite for WooCommerce برای نفوذ استفاده میکنند. طبق گزارش مخزن رسمی افزونههای وردپرس، این افزونه اکنون روی ۲۰ هزار وبسایت وردپرسی فعالیت میکند.
آسیبپذیری چگونه کار میکند؟
آسیبپذیری مورد نظر، یکی از معدود نمونههایی است که در آن از روش تقریبا بیخطر XSS استفاده میشود، اما میتواند تأثیرات مخرب قابلتوجهی داشته باشد. درواقع، حفرههای امنیتی XSS بهندرت برای چنین حملههای مرگباری استفاده میشوند. حملات کنونی در اثر اشکالات افزونه و نحوهی بهرهبرداری از حفرهی امنیتی صورت میگیرند که ترکیب آنها، تهدیدات شدیدی را به همراه دارد.
افزونهی فروشگاهی مذکور، به مدیران وبسایتها امکان میدهد تا سبدهای خریدی را که توسط کاربران رها شدهاند، بهراحتی مشاهده کنند. سبدهایی که خریدار آنها، پیش از نهایی شدن خرید، وبسایت را ترک میکند. با استفاده از این افزونه میتوان محصولات پرطرفدار را بهصورت بهینهتری شناسایی و آنها را بهصورت بهتری عرضه کرد و به نمایش گذاشت. درنهایت، سبدهای رهاشده تنها در بخش مدیریت سایت و توسط مدیر اصلی یا کاربران دیگر با دسترسیهای مدیریتی قابل مشاهده خواهد بود.
مایکی وینسترا، محقق شرکت Defiant میگوید که هکرها با استفاده از آسیبپذیری افزونه، عملیاتی را بهصورت خودکار در وبسایتهای وردپرسی مجهز به ووکامرس اجرا میکنند. در آن حملهها، سبدهای خریدی در فروشگاه آنلاین ایجاد میشود که محصولات آنها، نامهای غیرمعمول یا اشتباه دارند. آنها کدهای نفوذ را در یکی از ردیفهای سبد خرید مخفی میکنند و از وبسایت خارج میشوند. با این روش، کد مخرب قطعا وارد دیتابیس فروشگاه میشود.
پس از آنکه کد مخرب در سبد خرید قرار گرفت، مدیر وبسایت برای بررسی سبدهای رهاشده به افزونه مراجعه میکند. سپس کد مخرب به محض باز شدن صفحهای مشخص از پنل مدیریتی، اجرا میشود. وینسترا میگوید افزونهی امنیتی شرکتش در هفتههای گذشته چندین تلاش برای نفوذ به وبسایتها با استفاده از این روش را ثبت کرده است.
کدهای مخربی که توسط افزونهی امنیتی شناسایی شدند، یک فایل جاوااسکریپت را از آدرسی در bit.ly بارگذاری میکنند. آن فایل، تلاش میکند تا ۲ راه نفوذ را برای ورود به سایتهای آسیبپذیر پیادهسازی کند. اولین راه نفوذ، یک حساب کاربری با دسترسی مدیر کل به هکرها میدهد که نام کاربری آن woouser و ایمیل ثبتنامی، woouser401a[at]mailinator.com خواهد بود. گروه امنیتی، گذرواژهی آن کاربر تقلبی را هم گزارش کردهاند که K1YPRka7b0av1B است.
مسیر ورودی دوم، بسیار زیرکانه طراحی شد که بهندرت در نفوذهای اینچنینی دیده میشود. وینسترا در مصاحبهی خود گفت که در روش دوم، کد مخرب فهرست افزونههای وبسایت را بررسی کرده و آنهایی که توسط مدیر کل غیرفعال شدهاند را شناسایی میکند. هکرها افزونهی هدف را فعال نمیکنند، بلکه محتوای فایل اصلی آن را با اسکریپتی مخرب تعویض میکنند که راه نفوذ را برای دسترسیهای بعدی باز میکند. افزونه غیرفعال میماند، اما از آنجایی که فایلهای آن روی هاست بوده و ازطریق وب ریکوئستها قابل دسترسی هستند، هکرها میتوانند در صورت بسته شدن راه اول (پاک شدن کاربر woouser) ازطریق آن برای نفوذ اقدام کنند.
لینک bit.ly که برای نفوذ مذکور استفاده میشود، تاکنون ۵۲۰۰ مرتبه باز شده است. درنتیجه میتوان پیشبینی کرد که تعداد سایتهای آلوده به چند هزار عدد رسیده باشد. بههرحال، آمار بازدید از آن لینک را نمیتوان دقیق دانست.
وینسترا در مصاحبهی خود دربارهی لینک میگوید:
آمارهای Bit.ly میتوانند گمراهکننده باشند، چرا که یک وبسایت آلوده میتواند چندین بار درخواست به آن لینک را تکرار کند. بهعنوان مثال اگر کدهای XSS در داشبورد مدیریتی افزونه باقی بمانند و مدیر چند بار آن را بررسی کند، درخواست به لینک مذکور تکرار میشود.
بهعلاوه، نمیتوان تخمین زد که چند حملهی XSS موفق انجام شده و منتظر مدیر ارشد هستند تا صفحهی مورد نظر را برای اولینبار باز کند.
جملهی آخر وینسترا نشان میدهد که احتمالا وبسایتهای زیادی تحت حمله قرار گرفتهاند، اما هنوز راه ورود به آنها نهایی نیست. درنتیحه، لینک Bit.ly ازطریق آنها باز نشده است. بههرحال، وینسترا و همکارانش هنوز دلیل و هدف اصلی مجرمان سایبری از نفوذ به آن همه وبسایتهای وردپرسی را متوجه نشدهاند. چرا که افزونهی امنیتی آنها، همهی مشتریان را دربرابر نفوذ مذکور حفظ کرده است. درنهایت، شاید بتوان اهدافی همچون ارسال اسپم برای سئیا اجرای کدهای مخرب دزدیدن اطلاعات بانکی را دلیل نفوذهای اخیر دانست.
بههرحال تیم مدیریتی افزونهی Abandoned Cart Lite for WooCommerce در جدیدترین نسخهی خود پچ امنیتی برای مقابله با حملههای XSS را عرضه کردهاند. وبسایتهای وردپرسی مجهز به ووکامرس که از آن افزونه استفاده میکنند، باید هستهی وبسایت و افزونههای خود را بهروزرسانی کرده و هرگونه فعالیت مشکوک در پنل مدیریت را نیز بررسی کنند. نام کاربری woouser یا هر مورد مشابه و مشکوک، مرحلهی اول در آن بررسی خواهد بود.
اخبار شبکه های کامپیوتری، شبکه های کامپیوتری، نصب و راه اندازی شبکه های کامپیوتری، پشتیبانی شبکه های کامپیوتری،پشتیبانی شبکه، شرکت پشتیبانی شبکه، قرارداد پشتیبانی شبکه، خدمات شبکه، راه اندازی شبکه، شرکت نصب و راه اندازی شبکه های کامپیوتری، نصب شبکه، راه اندازی شبکه، پشتیبانی شبکه، فروش سوئیچ سیسکو، سیسکو ریفر، فروش سرور اچ پی، سرور اچ پی dl380، سرور اچ پی dl360، سرور رکمونت اچ پی، سرور HP، راه اندازی سرور اچ پی، فروش سرور HP، بهترین قیمت سرور اچ پی،کمترین قیمت سرور اچ پی، تجهیزات سرور اچ پی، هارد sas، هارد سرور اچ پی، رم سرور اچ پی، پاور سرور اچ پی، سوئیچ 2960 سیسکو،لینک فروش سوئیچ های سیسکو، سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو، قیمت سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو نیو،سیسکو، بهترین قیمت سوئیچ سیسکو، سوئیچ شبکه سیسکو، اکتیو شبکه، پسیوشبکه، زیرساخت شبکه، کابل کشی شبکه، پیمانکار شبکه، فروش تجهیزات شبکه
خدمات شبکه , نصب و راه اندازی شبکه , سرور , پشتیبانی شبکه , راه اندازی شبکه , اجرای شبکه , فروش تجهیزات شبکه , قرارداد پشتیبانی شبکه , راه اندازی اتاق سرور , راه اندازی سرور روم , اجرای زیرساخت شبکه ,