السبت , 27 مايو 2017

ثغرة خطيرة في احدى اضافات ورد برس، والهاكرز يقومون باستغلالها بكثافة

Slider Revolution، احدى أكثر اضافات ورد برس استخداما، تم بيعها أكثر من 34 ألف مرة بشكل منفرد على موقع CodeCanyon بالاضافة إلى كونها موجود بشكل تلقائي في كثير من قوالب ورد برس المدفوعة والاأكثر استخداما على الانترنت، وهي من برمجة شركة ThemePunch،

نسخ الاضافة من رقم 4.1.4 وأقل يوجد بها ثغرة خطيرة تسمح لأي شخص بتحميل ما يشاء من ملفات من على السرفر في شهر فبراير الماضي، وقامت الشركة المبرمجة باصلاح الثغرة بشكل سري دون الكشف عن تفاصيلها بشكل عام.

الاضافة بها خاصية التحديث التلقائي، فكل من قام بشراء الاضافة بشكل منفرد فربما حصل على التحديث في الأشهر السابقة، ولكن المشكلة الرئيسية تكمن في القوالب التي تأتي الاضافة مدمجة بها، والتي لا بد لمصممي هذه القوالب أن يقوموا بتحديثها بشكل يدوي لكي تكون متاحة لعملائهم.

والآن وبعد مرور العديد من الأشهر، قام عدد من الهاكرز بنشر كيفية استغلال هذه الثغرة بشكل عام على موقع exploit-db.com الشهير، وقالت شركات أمن كثيرة أن كثير من الهاكرز بداية من منتصف الشهر السابق يقومون باستغلالها لاختراق كثير من المواقع المصابة، وهيا بالمناسبة كثيرة فعلا.

يكفيك البحث في جوجل عن احدى هذه الجمل وسوف ترى النتائج بنفسك:

“Index of” +/wp-content/themes/IncredibleWP/

ثغرة في Revolution Slider تعرض كثير من المواقع للخطر

 

كما قلنا الثغرة يمكن استغلالها لقراءة أي ملف على السرفر بما فيه الملفات التي تحتوي على معلومات حساسة، كملف الكونفج الخاص بورد برس wp-config.php والذي يحتوي على معلومات قواعد البيانات الخاصة بالموقع بما فيها اسم قاعدة البيانات واسم المستخدم وكلمة المرور.

كيف يمكن للهاكز استغلال الثغرة:

1- البحث عن المواقع المصابة عن طريق البحث في جوجل بإحدى خيارات البحث من هنا او بفحص موقع معين لمعرفة اذا كانت النسخة القديمة من الاضافة مثبتة على الموقع.

2- تحميل ملف الكونفج الخاص بوردبرس:

http://victim/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

3- والباقي يحده فقط خيال الهاكر.

 

نوع الثغرة

الثغرة من نوع Local File Include LFI وتمكن المهاجم من قرءاة والوصول وأيضا امكانية تحميل أي ملف موجود على السرفر، وهي بالمناسبة ثغرة خطيرة جدا.

 

الخطأ الذي وقعت فيه الشركة

الخطأ الذي وقعت فيه الشركة هنا أنها قامت بترقيع النسخة المصابة بدون نشر التفاصيل لعملائها وللعامة، مع علمها بوجود استغلال كثيف من الهاكرز لهذه الثغرة وانتشارها في المنتديات مما لم يعطي التحديث اهمية لمعظم المستخدمين ولم يتم تحذيرهم، وانما زاد عدد الهاكرز الذين اصبحوا على علم بها بسبب ان كثير منهم يقوم بمتابعة التحديثات الامنية ومحاولة استغلالها قبل ان يقوم المستخدم العادي بالتحديث.

وأخيرا ان كان لديك موقع وردبرس فقم بالتأكد من عدم وجود النسخة القديمة من الاضافة في موقعك ان وجدت.

تعليق واحد

  1. اسمها LFD
    local file download

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*