گزارش باگ امنیتی افزونه Plus Addons for Elementor

با توجه به گزارشات موجود، حفره امنیتی افزونه Plus Addons for Elementor، قبل از اصلاح و پچ شدن توسط تیم توسعه دهنده آن در حملات روز صفر مورد استفاده قرار گرفته است.

افزونه Plus Addons for Elementor وردپرس دارای یک آسیب‌پذیری امنیتی بسیار مهمی است که مهاجمان می‌توانند با سوء استفاده (Exploit) از آن به سرعت و از راه دور به راحتی کنترل وب‌سایت مورد حمله را در دست بگیرند. اولین بار که این مسئله به عنوان یک باگ روز صفر گزارش شد، محققان بر این نظر بودند که این امر سبب حملات گسترده به وب سایت‌های دارای این افزونه خواهد شد.

این افزونه طبق گفته توسعه‌دهنده آن بیش از 30000 نصب فعال دارد و به دارندگان سایت این امکان را می‌دهد تا ابزارک‌های مختلفی برای وب‌سایت‌ خود ایجاد کنند. یکی از این امکانات، امکان ورود کاربر و فرم‌های ثبت‌نام است که می‌توانند به یک صفحه Elementor اضافه شوند. Elementor یک ابزار سایت‌ساز برای وردپرس است.

باگ (CVE-2021-24175) یک آسیب پذیری برای گرفتن و بالا بردن سطح دسترسی و دور زدن مکانیزم احراز هویت است که در فرم ثبت‌نام افزونه Plus Addons for Elementor وجود دارد. این آسیب پذیری در دامنه آسیب پذیری‌ها CVSS نمره 9.8 به خود اختصاص داده که این موضوع حساسیت آن را به خاطر میزان شدت آن بالا برده است.

به گفته محققان در Wordfence، “متأسفانه پیکربندی نادرست این قابلیت به مهاجمان اجازه می‌دهد تا یا به عنوان یک کاربر مدیریتی ثبت نام کنند یا به عنوان یک کاربر مدیریتی موجود وارد سیستم شوند.” آنها همچین افزودند که این امر ناشی از مدیریت نادرست نشست‌ها در این افزونه می‌باشد ولی جزئیات فنی بیشتری از آن ارائه نداده‌اند.

بهره برداری از آسیب پذیری افزونه Plus Addons for Elementor به عنوان باگ روز صفر

این باگ اولین بار توسط شرکت میزبانی وب Seravo، به WPScan (WordPress security scanner) گزارش شد که به عنوان یک حمله روز صفر فعال توسط مهاجمان استفاده می‌شود.

با توجه به بررسی WPScan، “مهاجمان این افزونه به طور مداوم برای دور زدن احراز هویت مورد سوءاستفاده (Exploit) قرار می‌دهند. و این آسیب پذیری به کاربران احراز هویت نشده اجازه می‌دهد تا فقط با ارائه نام کاربری مربوطه به هر کاربری از جمله ادمین وارد سیستم شوند. و همچنین حساب‌هایی با نقش‌های دلخواه مانند مدیر ایجاد کنند.”

Wordfence در مورد اینکه این آسیب پذیری چگونه به طور وسیعی توسط مهاجمان استفاده می‌شود، نیز اینگونه می‌گوید. “شاخص‌های سازش (IoC) نشان می‌دهند مهاجمان ابتدا حساب‌های کاربری با دسترسی بالا ایجاد و سپس از آنها برای نفوذ بیشتر به سایت استفاده می‌کنند”.

محققان می‌گویند : “كه مهاجمان بر اساس چگونگی ایجاد حساب‌های کاربری توسط آسیب‌پذیری، حساب‌های كاربری را با نام كاربری با عنوان آدرس ایمیل‌های ثبت شده اضافه می‌كنند و در برخی موارد نیز یك افزونه مخرب با برچسب wpstaff نصب می‌کنند.

نکته نگران کننده در مورد این آسیب پذیری این است که حتی اگر ورود فعال یا صفحه ثبت نام فعالی توسط این افزونه ایجاد نشده باشد و یا صفحات ثبت ‌نام و ورود به سیستم از طریق این فرم‌ها تعلیق یا غیرفعال شده باشند، باز هم می‌توان از این آسیب‌پذیری سوء استفاده کرد.

بر اساس پست Wordfence، “این بدین معنی است که هر سایتی که این افزونه را اجرا می‌کند در معرض خطر قرار دارد.”

چگونگی رفع آسیب پذیری امنیتی Plus Addons for Elementor

این آسیب‌پذیری روز دوشنبه 15 مارس گزارش شد و یک روز بعد به طور کامل اصلاح شد. توصیه می‌شود مدیران سایت برای جلوگیری از حمله این افزونه را به نسخه 4.1.7 Plus Addons for Elementor ارتقا دهند. طبق گفته Wordfence آنها باید هرگونه کاربر اجرایی یا افزونه غیرمنتظره‌ای که خودشان نصب و ایجاد نکرده‌اند” را بررسی کنند. این شرکت افزود افزونه Plus Addons for Elementor Lite از آسیب‌پذیری مشابه Plus Addons for Elementor برخوردار نیست.

محققان می‌گویند: اگر ازافزونه Pluss Addons for Elementor استفاده می‌کنید، اکیداً توصیه می‌کنیم آن را غیرفعال کرده و به طور کامل حذف کنید تا وقتی که این آسیب‌پذیری اصلاح شود. و اگر نسخه رایگان برای نیازهای شما کافی است، فعلا می‌توانید از آن استفاده کنید.

مشکلات افزونه‌های وردپرس همچنان به قوت خود باقی هستند

افزونه‌های وردپرس همچنان راهی جذاب برای حمله، به مجرمان اینترنتی ارائه می‌دهند.

در ماه ژانویه، محققان نسبت به دو آسیب‌پذیری در افزونه وردپرس به نام Orbit Fox هشدار دادند که می‌تواند به مهاجمان اجازه بدهد تا کد مخربی را به وب سایت‌های آسیب پذیر تزریق کنند و یا از طریق این آسیب پذیری‌ها کنترل وب‌سایت را به دست بگیرند.

همچنین در همان ماه، مشخص شد که افزونه‌ای به نام PopUp Builder که توسط وب سایت‌های وردپرسی برای ساخت تبلیغات پاپ آپ برای اشتراک خبرنامه استفاده می‌شد، می‌تواند توسط مهاجمان برای ارسال خبرنامه‌هایی با محتوای سفارشی یا حذف یا وارد کردن مشترکین خبرنامه مورد سوء استفاده قرار بگیرد.

در ماه فوریه نیز مشخص شد که یک باگ امنیتی (XSS) به طور بالقوه حدود 50،000 کاربر افزونه Contact Form 7 Style را تهدید می‌کند.