افزونه‌ی حاویِ درب پشتی، ۲۰۰ هزار وب‌گاه وردپرس را تحت تاثیر قرار می‌دهد

وردفِنس گزارش می‌دهد حدود ۲۰۰ هزار وب‌گاه وردپرس، پس از استفاده از افزونه‌ای که با کدهای مخرب به‌روزرسانی شده بود، تحت تاثیر قرار گرفتند. با بررسی افزونه‌ی Display Widgets، مشخص شد که این افزونه توسط نویسنده‌ی اصلی آن در تاریخ ۱۹ می ۲۰۱۷ میلادی و به مبلغ ۱۵ هزار دلار، به یک توسعه‌دهنده‌ی شخص ثالث فروخته شد. حدود یک ماه پس از آن، افزونه توسط مالک جدید خود به‌روز شده و نمایش رفتارهای مخربی را آغاز کرد. در اوایل ماه سپتامبر، افزونه از طریق چندین به‌روزرسانی شده و چندین بار نیز از مخزن افزونه حذف شده است.

نخستین ویجت‌های مخرب مشاهده شده در نسخه‌ی ۲.۶.۰ بود که در تاریخ ۲۱ ژوئن منتشر شد و دو روز بعد از مخزن حذف گردید. این ویجت، ۳۸ مگابایت کد (پایگاه داده‌ی بزرگ جغرافیایی Maxmind IP) از یک کارگزار خارجی بارگیری کرد. در تاریخ ۳۰ ژوئن، نسخه‌ی ۲.۶.۱ منتشر شد که حاوی یک پرونده‌ی مخرب با نام geolocation.php بوده و برای ارسال محتوای جدید به وب‌گاه‌هایی که در حال اجرای افزونه هستند، طراحی شده بود. این کد به نویسنده‌ی افزونه اجازه می‌دهد تا محتوا را به‌روزرسانی و حتی حذف نماید و از مشاهده‌ی محتوا توسط کاربران وارد شده (از جمله صاحبان وب‌گاه) جلوگیری کند. نمایش ویجت‌ها از مخزن وردپرس در تاریخ ۱ ژوئیه حذف شد.

نسخه‌ی ۲.۶.۲ ازDisplay Widgets، یک هفته بعد با اصلاح کدهای مخرب منتشر شد و در تاریخ ۲۴ جولای از مخزن افزونه حذف شد. مالک افزونه، نسخه‌ی ۲.۶.۳ را در تاریخ ۲ سپتامبر منتشر کرد که این کد مخرب حتی رفع اشکال را نیز شامل می‌شد. Display Widgets در تاریخ ۸ سپتامبر از مخزن افزونه‌ی وردپرس حذف شدند. قبل از حذف افزونه برای چهارمین بار، صاحبان افزونه اشاره کردند که این کد مخرب، یک آسیب‌پذیری است که می‌تواند در ترکیب با دیگر افزونه‌ها و به‌منظور نمایش محتوای هرزنامه به کاربران، مورد بهره‌برداری قرار گیرد. طبق گفته‌ی وردفِنس، این کد در حقیقت یک درب پشتی بود که با استفاده از افزونه، نویسندگان را قادر به انتشار مطالب در وب‌گاه‌ها می‌ساخت.

تمامی وب‌گاه‌هایی که از نسخه‌ی ۲.۶.۱ تا ۲.۶.۳ از Display Widgets استفاده می‌کنند، ممکن است توسط این کد مخرب تحت تاثیر قرار گرفته و کاربران آن‌ها با محتوای ناخواسته‌ی هرزنامه مواجه شوند. درحالی‌که ممکن است صاحبان جدید افزونه جدید بگویند که از این رفتار مخرب آگاه نبوده‌اند، وردفِنس ادعا می‌کند که در غیر این صورت، در آخرین نسخه به این موضوع که کد مخرب شامل اصلاحیه است، اشاره نمی‌کردند، به این معنی که، آن‌ها از قابلیت‌های آن آگاه بوده‌اند. محققان متوجه شدند فردی که این افزونه را در اواخر ماه می خریداری کرد، میسون سویزا، ۲۳ ساله از انگلیس بوده است. نویسندگان سابق در استراتژی ۱۱ اعلام کردند که سویزا با این ادعا به آن‌ها نزدیک شده است که شرکت او در حال تلاش برای «ساخت یکی از بزرگ‌ترین شرکت‌های افزونه‌ی وردپرس» است و پیش از این، بیش از ۳۴ افزونه را مدیریت کرده‌اند.

محتوای هرزنامه برای یک وب‌گاه متعلق به سویزا بود، درحالی‌که کارگزاری را که برای ارائه‌ی هرزنامه به‌کار گرفته بود، متعلق به وب‌گاهی دیگر بود. با این حال، سویزا ادعا می‌کند که تنها این افزونه را در اوایل سال جاری خریداری کرده است. وردفِنس همچنین متوجه شد که او گاهی اوقات از نام مستعار کِوین دننا استفاده کرده و در کسب‌وکار برخط مانند وام‌های پرداخت روزانه، شرط‌بندی و خدمات گارد محافظتی، نیز منافعی دارد. سویزا در تماس با محققان ادعا می‌کند که Display Widgets را پس از خرید آن‌ها، با سود مختصری به فروش رسانده است.

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.