یک آسیب پذیری امنیتی در افزونه محبوب وردپرس Essential Addons for Elementor فاش شده است که می تواند به طور بالقوه برای دستیابی به امتیازات بالا در سایت های آسیب دیده مورد سوء استفاده قرار گیرد.
این مشکل که با نام CVE-2023-32243 دنبال میشود، توسط نگهبانان افزونه در نسخه ۵.۷.۲ که در ۱۱ مه ۲۰۲۳ ارسال شد، برطرف شده است. افزونههای ضروری برای Elementor بیش از یک میلیون نصب فعال دارد.
رفیع محمد، محقق Patchstack، گفت: «این افزونه از آسیبپذیری افزایش امتیازات تایید نشده رنج میبرد و به هر کاربر تأیید نشده اجازه میدهد تا امتیاز خود را به هر کاربر در سایت وردپرس افزایش دهد.
بهرهبرداری موفقیتآمیز از نقص میتواند به یک عامل تهدید اجازه دهد تا رمز عبور هر کاربر دلخواه را بازنشانی کند، تا زمانی که طرف مخرب از نام کاربری خود آگاه باشد. اعتقاد بر این است که این نقص از نسخه ۵.۴.۰ وجود داشته است.
این می تواند عواقب جدی داشته باشد زیرا این نقص می تواند برای بازنشانی رمز عبور مرتبط با حساب مدیر و در دست گرفتن کنترل کامل وب سایت مورد استفاده قرار گیرد.
محمد بیان کرد : این آسیبپذیری به این دلیل رخ میدهد که این عملکرد بازنشانی رمز عبور، کلید بازنشانی رمز عبور را تأیید نمیکند و در عوض مستقیماً رمز عبور کاربر را تغییر میدهد.
این افشاگری بیش از یک سال پس از آن صورت می گیرد که Patchstack نقص شدید دیگری را در همان افزونه فاش کرد که ممکن بود برای اجرای کد دلخواه در وب سایت های در معرض سوء استفاده قرار گیرد.
این یافتهها همچنین به دنبال کشف موج جدیدی از حملاتی است که سایتهای وردپرس را از اواخر مارس ۲۰۲۳ هدف قرار میدهند که هدف آن تزریق بدافزار بدنام SocGholish (معروف به FakeUpdates) است.
SocGholish یک چارچوب بدافزار جاوا اسکریپت پایدار است که به عنوان یک ارائه دهنده دسترسی اولیه برای تسهیل ارسال بدافزار اضافی به میزبان های آلوده عمل می کند. این بدافزار از طریق دانلودهای درایو به شکل به روز رسانی مرورگر وب توزیع شده است.
جدیدترین کمپینی که توسط Sucuri شناسایی شده است، از تکنیکهای فشردهسازی با استفاده از کتابخانه نرمافزاری به نام zlib برای پنهان کردن بدافزار، کاهش ردپای آن و جلوگیری از شناسایی استفاده میکند.
دنیس سینگوبکو، محقق Sucuri، گفت: «بازیگران بد به طور مداوم تاکتیکها، تکنیکها و رویههای خود را برای فرار از شناسایی و افزایش عمر کمپینهای بدافزار خود توسعه میدهند.
بدافزار SocGholish نمونه بارز این موضوع است، زیرا مهاجمان رویکرد خود را در گذشته برای تزریق اسکریپت های مخرب به وب سایت های وردپرس در معرض خطر تغییر داده اند.
این فقط SocGholish نیست. Malwarebytes، در یک گزارش فنی این هفته، یک کمپین بد تبلیغاتی را توضیح داد که به بازدیدکنندگان وبسایتهای بزرگسالان با آگهیهای popunder خدمات میدهد که یک بهروزرسانی جعلی ویندوز را شبیهسازی میکنند تا بارگذار «in2al5d p3in4er» (معروف به چاپگر نامعتبر) را حذف کنند.
جروم سگورا، مدیر اطلاعات تهدید در Malwarebytes، گفت: «این طرح بسیار خوب طراحی شده است، زیرا برای نمایش یک انیمیشن تمام صفحه که بسیار شبیه آنچه از مایکروسافت انتظار دارید، به مرورگر وب متکی است.
لودر که ماه گذشته توسط Morphisec مستندسازی شد، طراحی شده است تا کارت گرافیک سیستم را تحلیل کند تا مشخص کند که آیا در یک ماشین مجازی در حال اجرا است یا در یک محیط sandbox، و در نهایت بدافزار دزد اطلاعات Aurora را راه اندازی می کند.
این کمپین، به ازای Malwarebytes، در طول دو ماه گذشته ۵۸۵ قربانی گرفته است، که عامل تهدید نیز با دیگر کلاهبرداریهای پشتیبانی فنی و پنل فرمان و کنترل ربات Amadey مرتبط است.
