مرکز آپا دانشگاه کردستان

امکان حمله مهاجمان به سایت‌های خرید تحت وردپرس

خلاصه آسیب‌پذیری هکرها از آسیب‌پذیری XSS در پلاگین کارت خرید رها شده برای دسترسی به سایت‌های آسیب‌پذیر، استفاده می‌کنند. سایت‌های خرید مبتنی بر وردپرس در معرض حملات یک گروه هکری قرار گرفته‌اند که با استفاده از آسیب‌پذیری موجود در پلاگین سبد خرید یک درپشتی ایجاد و به سایت‌های آسیب‌پذیر دسترسی پیدا می‌کنند. با توجه به Defiant، که شرکت پشتیبان Wordfence و پلاگین فایروال برای سایت‌های تحت وردپرس است، حملات هم‌اکنون در حال انجام است. با توجه به مخزن رسمی پلاگین‌های وردپرس، هکرها سایت‌های وردپرسی را هدف قرار داده‌اند که از پلاگین "Abandoned Cart Lite for WooCommerce"، که در بیش از 20000 سایت وردپرس نصب شده است، استفاده می‌کنند. چگونگی عملکرد آسیب‌پذیری این حملات یکی از معدود حملاتی است که یک آسیب‌پذیری XSS معمولی و بی ضرر در آن می‌تواند به یک تهدید جدی شود. زیرا آسیب‌پذیری‌های XSS به‌ندرت به این شکل خطرناک استفاده می‌شوند. این هک‌ها به دلیل نحوه عملکرد پلاگین و آسیب‌پذیری انجام می‌شود و ترکیب این دو می‌تواند موجب حملاتی خطرناک شود. این پلاگین همانطور که از اسمش معلوم است، به مدیران سایت‌ها اجازه دیدن سبد خرید‌های رها شده که کاربران محصولات اضافه شده در سبد خرید‌‌های خود را قبل از اینکه سایت را ترک کنند، درآن قرار می‌دهند را می‌دهد. به عبارتی مدیران سایت از این پلاگین استفاده می‌کنند تا لیستی از محصولات بالقوه محبوب را که فروشگاه در آینده باید تنوعش را افزایش دهد، به دست آورند. این فهرست سبد خریدهای رها شده تنها در قسمت backend سایت‌های وردپرس است و معمولا فقط برای مدیران یا سایر کاربران با حساب کاربری دارای دسترسی بالا قابل مشاهده است. چگونگی اکسپلویت این آسیب‌پذیری توسط هکرها براساس گزارش Mikey Veenstra، که از محققان امنیتی Defiant است، هکرها درحال تلاش برای خودکارسازی عملیات روی فروشگاه‌های مبتنی بر WordPress WooCommerce هستند تا سبد خریدهایی که حاوی نام‌های تغییرشکل یافته هستند را ایجاد کنند. آنها یک کد اکسپلویت را در یکی از فیلدهای سبد خرید اضافه می‌کنند و سپس سایت را ترک می‌کنند تا به شکلی مطمئن شوند که کد اکسپلویت در پایگاه داده‌‎ای فروشگاه ذخیره شده است. هنگامی که یک مدیر سایت به قسمت Backend فروشگاه دسترسی پیدا می‌کند تا لیستی از سبدخریدهای رها شده را مشاهده کند، کد اکسپلویت هکرها به محض بارگذاری صفحه Backend روی صفحه نمایش مدیر سایت، اجرا می‌شود. به گفته Veenstra، شرکت Wordfence تابحال چندین روش را برای مقابله با این تکنیک در چند هفته گذشته شناسایی کرده است و مهاجمان با استفاده از کد اکسپلویت، یک فایل جاوا اسکریپت را از لینک bit.ly بارگذاری می‌کنند که تلاش می‍کند تا دو نوع درپشتی متفاوت را در سایت‌هایی که پلاگین آسیب‌پذیر دارند، اجرا کند. اولین درپشتی به شکل یک حساب کاربری جدید است که هکرها در سایت ایجاد می‌کنند. این کاربر جدید مدیر به نام "woouser" و با آدرس ایمیل "woouser401a@mailinator.com" ثبت شده و از کلمه عبور "K1YPRka7b0av1B" استفاده می‌کند. دومین درپشتی بسیار هوشمندانه است و تکنیکی است که به ندرت دیده می شود. به گفته Veenstra، این کد مخرب تمام پلاگین‌های سایت را لیست می‌کند و به دنبال پلاگین‌های غیرفعال شده توسط مدیر می‌گردد. هکرها این پلاگین‌ها را مجدداً فعال نمی‌کنند، بلکه به جای فایل اصلی، یک اسکریپت مخرب را جایگزین می‌کنند که به عنوان یک درپشتی برای دسترسی در آینده استفاده می‌شود. پلاگین غیرفعال باقی خواهد ماند، اما از آنجا که فایل‌های آن هنوز روی دیسک موجود و قابل دسترسی توسط درخواست‌های وب است، هکرها در صورتی که صاحبان سایت حساب "woouser" را حذف کنند، می‌توانند دستورات مخرب را با استفاده از این در پشتی دوم اجرا کنند. لینک bit.ly مورد استفاده توسط این کمپین مخرب بیش از 5200 بار دیده شده است، که نشان می‌دهد، تعداد سایت‌های آلوده به احتمال زیاد نزدیک به هزار عدد است. تشخیص اینکه در واقع چند تزریق موفق XSS، منتظر یک مدیر سایت برای باز کردن آن صفحه برای اولین بار است، بسیار سخت است و بسیاری از سایت‌ها ممکن است در حال حاضر تحت حمله باشند، اما درپشتی هنوز بر روی آن‌ها به کار گرفته نشده است، و از این رو لینک bit.ly امکان دارد هنوز بارگذاری نشده باشد. اطلاعات زیادی در مورد اکسپلویت‌های موفقیت‌آمیز هنوز وجود ندارد، زیرا WAFهای ما از در معرض خطر قرار گرفتن کاربران فعالمان جلوگیری می‌کند. هکرها می‌توانند از این سایت‌های آسیب‌پذیر برای هر کاری از اسپم‌های جستجوگر گرفته تا دزدیدن اطلاعات کارت‌های اعتباری استفاده کنند. توصیه‌ها برای پلاگین " Abandoned Cart Lite for WooCommerce" یک راه حل برای مقابله با حملات XSS ارائه شده است که در طول حملات اخیر برای نسخه 5.2.0، در تاریخ 18 فوریه منتشر شده است. به مدیران سایت‌های خرید وردپرس استفاده‌کننده از این پلاگین توصیه می‌شود که سایت‌های خود را به‌روزرسانی کنند و لیست حساب‌های کاربری مدیریتی خود را برای ورودی‌های مشکوک بررسی کنند. ممکن است "woouser" وجود نداشته باشد و هکرها آن را به چیز دیگری تغییر داده باشند.