محققان در مورد افزونه حاوی درب پشتی هشدار دادند که ۲۰۰ هزار وبسایت وردپرس را تحتتاثیر قرار میدهد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
محققان در مورد افزونه حاوی درب پشتی هشدار دادند که ۲۰۰ هزار وبسایت وردپرس را تحتتاثیر قرار میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وردفنس گزارش میدهد حدود ۲۰۰ هزار وبسایت وردپرس، پس از استفاده از افزونهای که با کدهای مخرب بهروزرسانی شدهبود، تحت تاثیر قرار گرفتند. با بررسی افزونه Display Widgets، مشخص شد که این افزونه توسط نویسنده اصلی آن در نوزدهم ماه می ۲۰۱۷ میلادی و به مبلغ ۱۵ هزار دلار به یک توسعهدهنده شخص ثالث فروخته شد. حدود یک ماه پس از آن، افزونه توسط مالک جدید خود بهروز شده و نمایش رفتارهای مخربی را آغاز کرد. در اوایل ماه سپتامبر، افزونه از طریق چندین بهروزرسانی شده و چندینبار نیز از مخزن افزونه حذف شدهاست.
نخستین ویجتهای مخرب مشاهدهشده در نسخه ۲.۶.۰ بود که در ۲۱ ژوئن منتشر شد و دو روز بعد از مخزن حذف شد. این ویجت، ۳۸ مگابایت کد (پایگاه داده بزرگ جغرافیایی Maxmind IP) از یک کارگزار خارجی بارگیری کرد. در ۳۰ ژوئن، نسخه ۲.۶.۱ منتشر شد که حاوی یک پرونده مخرب با نام geolocation.php بوده و برای ارسال محتوای جدید به وبسایتهایی که در حال اجرای افزونه هستند، طراحی شدهبود. این کد به نویسنده افزونه اجازه میدهد تا محتوا را بهروزرسانی و حتی حذف کند و از مشاهده محتوا توسط کاربران وارد شده (ازجمله صاحبان وبسایت) جلوگیری کند. نمایش ویجتها از مخزن وردپرس در اول ژوئیه حذف شد.
نسخه ۲.۶.۲ ازDisplay Widgets، یک هفته بعد با اصلاح کدهای مخرب منتشر شد و در ۲۴ جولای از مخزن افزونه حذف شد. مالک افزونه، نسخه ۲.۶.۳ را در دوم سپتامبر منتشر کرد که این کد مخرب حتی رفع اشکال را نیز شامل میشد. Display Widgets در ۸ سپتامبر از مخزن افزونه وردپرس حذف شدند. قبل از حذف افزونه برای چهارمینبار، صاحبان افزونه اشاره کردند که این کد مخرب، یک آسیبپذیری است که میتواند در ترکیب با دیگر افزونهها و بهمنظور نمایش محتوای هرزنامه به کاربران مورد بهرهبرداری قرار گیرد. طبق گفته وردفنس، این کد در حقیقت یک در پشتی بود که با استفاده از افزونه، نویسندگان را قادر به انتشار مطالب در وبسایتها میکرد.
تمامی وبسایتهایی که از نسخهی ۲.۶.۱ تا ۲.۶.۳ از Display Widgets استفاده میکنند، ممکن است توسط این کد مخرب تحت تاثیر قرار گرفته و کاربران آنها با محتوای ناخواستههرزنامه مواجه شوند. درحالیکه ممکن است صاحبان جدید افزونه جدید بگویند که از این رفتار مخرب آگاه نبودهاند، وردفِنس ادعا میکند که در غیر این صورت، در آخرین نسخه به این موضوع که کد مخرب شامل اصلاحیه است، اشاره نمیکردند، به این معنی که آنها از قابلیتهای آن آگاه بودهاند. محققان متوجه شدند فردی که این افزونه را در اواخر ماه می خریداری کرد، میسون سویزا، ۲۳ ساله از انگلیس بودهاست. نویسندگان سابق در استراتژی ۱۱ اعلام کردند که سویزا با این ادعا به آنها نزدیک شدهاست که شرکت او در حال تلاش برای «ساخت یکی از بزرگترین شرکتهای افزونه وردپرس» است و پیش از این، بیش از ۳۴ افزونه را مدیریت کردهاند.
محتوای هرزنامه برای یک وبسایت متعلق به سویزا بود درحالیکه کارگزاری را که برای ارائه هرزنامه بهکار گرفتهبود، متعلق به وبسایتی دیگر بود. با این حال، سویزا ادعا میکند که تنها این افزونه را در اوایل سال جاری خریداری کردهاست. وردفنس همچنین متوجه شد که او گاهی اوقات از نام مستعار کوین دننا استفاده کرده و در کسبوکار برخط مانند وامهای پرداخت روزانه، شرطبندی و خدمات گارد محافظتی، نیز منافعی دارد.
سویزا در تماس با محققان ادعا میکند که Display Widgets را پس از خرید آنها با سود مختصری به فروش رساندهاست.