إستطاع متسللون استغلال زوج من الثغرات الأمنية الحرجة في زرالمشاركة عبر وسائل التواصل الاجتماعي للسيطرة على مواقع WordPress التي لا تزال تشغل نسخة ضعيفة من البرنامج المساعد. المكوّن الضعيف المعني هو Social Warfare وهو البرنامج المساعد الشهير والمنتشر على نطاق واسع في WordPress والذي تم تنزيله أكثر من 900.000 مرة ويتم استخدامه لإضافة أزرار المشاركة الاجتماعية إلى موقع أو مدونة WordPress.
أصدر مشرفو Social Warfare for WordPress إصدارًا محدثًا 3.5.3 من المكون الإضافي الخاص بهم لتصحيح ثغرتين أمنيتين – تخزين البرامج النصية عبر المواقع (XSS) وتنفيذ التعليمات البرمجية عن بُعد (RCE) – يتم تتبعها بواسطة معرف واحد أي CVE-2019-9978. يمكن للمتسللين استغلال هذه الثغرات الأمنية لتشغيل كود PHP التعسفي والتحكم الكامل في مواقع الويب والخوادم ثم استخدام المواقع المعرضة للخطر لإجراء عمليات استخراج العملات المعدنية الرقمية أو استضافة شفرة استغلال ضارة. وفي نفس اليوم الذي أصدرت فيه Social Warfare النسخة المصححة من البرنامج المساعد الخاص بها ، نشر باحث أمني كشفًا كاملاً وإثباتًا لعدم حصانة البرمجة النصية للمواقع المتقاطعة (XSS).
بعد فترة وجيزة من الكشف الكامل وإصدار PoC بدأ المهاجمون في محاولة استغلال مشكلة عدم الحصانة . ولكن لحسن الحظ,كان يقتصر فقط على نشاط إعادة توجيه JavaScript المحقن حيث لم يجد الباحثون أي محاولات داخلية لاستغلال مشكلة RCE. لكن الباحثين وجدو في Palo Alto Network Unit 42 العديد من الاستغلالات التي تستفيد من نقاط الضعف هذه بما في ذلك استغلال لضعف RCE الذي يسمح للمهاجم بالتحكم في موقع الويب المتأثر واستغلاله لضعف XSS الذي يعيد توجيه الضحايا إلى موقع الإعلانات.
السبب الرئيسي لكل من هاتين الثغرتين هو: سوء استخدام الدالة is_admin () في WordPress. يقول الباحثون في موقع Unit 42 أن Is_admin يتحقق فقط إذا كانت الصفحة المطلوبة جزءًا من واجهة المسؤول ولن تمنع أي زيارة غير مصرح بها.”
وهناك أكثر من 37000 موقع من مواقع WordPress من بين 42000 موقع نشط ما زالوا يستخدمون إصدارًا قديمًا وضعيفًا من المكون الإضافي Social Warfare مما يترك مئات الملايين من زوارهم في خطر الاختراق. نظرًا لأنه من المحتمل أن يواصل المهاجمون استغلال الثغرات الأمنية لاستهداف مستخدمي WordPress. ويوصى مسؤولو الموقع بشدة بتحديث المكوّن الإضافي Social Warfare إلى 3.5.3 أو إصدار أحدث في أقرب وقت ممكن.
المصدر : هنا
