تحذير: حملة برمجيات خبيثة تستهدف المكون الإضافي WP-Automatic 

تم اكتشاف ثغرة أمنية خطيرة في المكون الإضافي WP-Automatic. تشكل هذه الثغرة الأمنية التي تم اكتشافها قبل بضعة أسابيع، تهديداً خطيراً حيث يمكن للمهاجمين استغلالها للوصول غير المصرح به إلى مواقع الويب، وإنشاء حسابات مستخدمين على مستوى المسؤول، وتحميل ملفات ضارة، وربما السيطرة الكاملة على المواقع المتأثرة.

تكمن الثغرة الأمنية في معالجة المكون الإضافي WP‑Automatic لآلية مصادقة المستخدم في أحد ملفاته، والتي يمكن للمهاجمين تجاوزها لتنفيذ استعلامات SQL ضارة. ومن خلال إرسال طلبات مصممة خصيصاً، يمكن للمهاجمين إدخال تعليمات برمجية SQL عشوائية في قاعدة بيانات الموقع والحصول على امتيازات مرتفعة. 

يستفيد المهاجمون من ثغرة SQL Injection في المكون الإضافي WP‑Automatic لتنفيذ استعلامات قاعدة بيانات غير مصرح بها من خلال:

إنشاء مستخدم إداري: مع القدرة على تنفيذ استعلامات SQL عشوائية، يمكن للمهاجمين إنشاء حسابات مستخدمين جديدة على مستوى المسؤول داخل WordPress.

تحميل البرامج الضارة: بمجرد إنشاء حساب على مستوى المسؤول، يمكن للمهاجمين تحميل ملفات ضارة، عادةً ما تكون هياكل الويب أو الأبواب الخلفية، إلى خادم موقع الويب المخترق.

إعادة تسمية الملف: يمكن للمهاجم إعادة تسمية ملف WP-Automatic الضعيف، للتأكد من أنه هو الوحيد القادر على استغلاله.

بمجرد اختراق موقع WordPress، يضمن المهاجمون استمرارية وصولهم عن طريق إنشاء أبواب خلفية وإخفاء التعليمات البرمجية. لتجنب الكشف والحفاظ على الوصول، قد يقوم المهاجمون أيضًا بإعادة تسمية ملف WP-Automatic الضعيف، مما يجعل من الصعب على مديري مواقع الويب أو أدوات الأمان تحديد المشكلة أو حظرها. 

ومن الجدير بالذكر، قد يجد المهاجمون  طريقة لتجنب الجهات الفاعلة السيئة الأخرى لاستغلال مواقعهم المخترقة بالفعل بنجاح. وأيضًا، نظرًا لأن المهاجم يمكنه استخدام الامتيازات العالية التي حصل عليها لتثبيت المكونات الإضافية والموضوعات على الموقع، فقد لاحظ موقع WPscan أنه في معظم المواقع المخترقة، تم تثبيت المكونات الإضافية التي سمحت للجهة المهاجمة بتحميل الملفات أو تحرير التعليمات البرمجية.

تم الكشف عن هذه الثغرة الأمنية علنًا بواسطة PatchStack في 13 آذار/مارس 2024، ومنذ ذلك الحين تم تسجيل 5,576,488 محاولة هجوم. بدأت الحملة الهجومية ببطء ووصلت إلى ذروتها في 31 مارس/آذار.

خطوات للحد من هذا التهديد:

يجب على أصحاب مواقع الويب اتخاذ إجراءات فورية لحماية مواقع WordPress الخاصة بهم منها:

  1. تحديثات المكونات الإضافية: التأكد من تحديث المكون الإضافي WP-Automatic إلى أحدث إصدار.
  2. مراجعة حساب المستخدم: من خلال تدقيق حسابات المستخدمين بشكل منتظم داخل WordPress، وإزالة أي مستخدمين إداريين غير مصرح لهم أو مشبوهين.
  3. مراقبة إعدادات الأمان: استخدام أدوات وخدمات مراقبة أمنية قوية مثل Jetpack Scan لاكتشاف الأنشطة الضارة على موقع الويب الخاص بك والرد عليها. في حال كان Jetpack Scan يتم استخدامه بشكل مسبق من المفضل التأكد من إعدادات الحماية وتعزيزها، من خلال تنشيط هذه الميزة، يمكنك تمكين جدار حماية تطبيقات الويب (WAF) من فحص الطلبات الموجهة إلى ملفات PHP المستقلة التي قد تكون معرضة للخطر. وهذا يعني أنه حتى إذا حاول المهاجمون إرسال الطلبات مباشرة إلى ملفات PHP، فسيكون WAF الخاص بك  متاح لفحص موقع الويب الخاص بك وحمايته ضد التهديدات المحتملة.
  4. النسخ الاحتياطي والاستعادة: الاحتفاظ بنسخ احتياطية محدثة لبيانات موقع الويب الخاص بك لتسهيل الاستعادة السريعة في حالة حدوث تسوية.
  5. بالنسبة لمستخدمي  Jetpack WAF والإصدارات القديمة من المكون الإضافي wp-automatic ، تم إنشاء قاعدة تمنع بشكل فعال الوصول إلى ملف PHP الضعيف، مما يضمن رفض جميع الطلبات الضارة. وتم إضافة قواعد جديدة في قاعدة بيانات البرامج الضارة لاكتشاف البرامج الضارة المستخدمة في هذه الحملة وتنظيفها.


هل تم استهداف موقعك ضمن هذه الحملة؟
إذا تم اكتشاف  أياً من المؤشرات التالية، فهذا يعني أن موقعك قد تم اختراقه بواسطة هذه الحملة النشطة:

  • مستخدم مسؤول باسم يبدأ بـ xtw .
  • إعادة تسمية الملف “/wp‑content/plugins/wp‑automatic/inc/csv.php” باسم “/wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php”
  • تم  إضافة ملفات SHA1 في نظام ملفات موقعك:

b0ca85463fe805ffdf809206771719dc571eb052  web.php
8e83c42ffd3c5a88b2b2853ff931164ebce1c0f3  index.php

لمزيد من المعلومات حول WordPress يمكن زيارة صفحة سلامتك ويكي

المصدر

هل كانت هذه المقالة مفيدة؟

Skip to content