وفقًا للخبراء ، يتم استغلال الثغرة الأمنية في البرنامج المساعد الشهير WordPress Yuzo Posts Posts بواسطة المهاجمين لإعادة توجيه المستخدمين إلى المواقع الضارة.
يتيح خلل XSS للمهاجمين حقن JavaScript في المواقع التي تعيد توجيه الزائرين إلى مواقع الويب التي تعرض الخدع ، بما في ذلك حيل الدعم الفني ، والمواقع التي تروج للبرامج غير المرغوب فيها.
تمت إزالة المكوّن الإضافي Yuzo Related Posts من متجر الإضافات في WordPress في 30 مارس 2019. بعد أن تم الكشف عن ثغرة أمنية في يوم من الأيام على الملأ ، وبشكل غير مسؤول ، تم الكشف عنها بواسطة باحث أمني في نفس اليوم.
البرنامج المساعد Yuzo Related Posts مثبت حاليًا على أكثر من 60،000 موقع في جميع أنحاء العالم والتي لم يتم إخطارها حتى وقت كتابة هذا التقرير.
أبلغ العديد من المستخدمين أن العناصر الفاعلة في البرية قد بدأت في الآونة الأخيرة في استغلال الثغرة الأمنية ، ولاحظوا أن مواقع الويب الخاصة بهم تعيد توجيه المستخدمين إلى المواقع غير المرغوب فيها.
وفقًا لخبراء الأمن في WordFence ، فإن ثغرة أمنية في البرنامج المساعد Yuzo تنبع من عمليات التحقق من المصادقة المفقودة في إجراءات البرنامج المساعد المستخدمة لتخزين الإعدادات في قاعدة البيانات.
"الضعف في Yuzo Related Posts ينبع من التحقق من المصادقة المفقودة في إجراءات البرنامج المساعد المسؤولة عن تخزين الإعدادات في قاعدة البيانات." تقرأ مشاركة المدونة التي نشرتها WordFence.
قدم مؤلف البرنامج المساعد Lenin Zapata الاقتراح التالي لوقف الهجوم:
إزالة / إلغاء تثبيت البرنامج المساعد على الفور.
داخل قاعدة البيانات الخاصة بك ، انتقل إلى جدول wp_options وابحث عن القيمة yuzo_related_post_options التي تحذف هذا السجل.
لا تحذف جدول الزيارات wp_yuzoviews ، هذا لا يؤثر على المشكلة.
قريبا سأرسل نسخة محسنة من Yuzo لجميع المستخدمين.
يمكن للمهاجم حقن نص جافا سكريبت غامض في قيمة yuzo_related_post_options لجدول wp_options.
بمجرد إلغاء تشفيرها ، سينشئ البرنامج النصي علامة نصية جديدة بها مصدر https: // hellofromhony [.] org / counter ، الذي سيتم حقنه في رأس الصفحة. عندما يزور مستخدم ما ، سيتم إعادة توجيه موقع ويب خطر إلى مواقع ضارة ، مثل صفحات احتيال الدعم الفني.
Yuzo الوظائف ذات الصلة الخلل
يعتقد الباحثون في WordFence أن الهجمات نفّذها نفس ممثلي التهديد الذين استهدفوا تثبيتات WordPress باستخدام الإضافات الاجتماعية Warfare و Easy WP SMTP.
وقد استخدمت مآثر ضد المكونات المذكورة أعلاه البرنامج النصي الخبيثة استضافت على المجال hellofromhony [.] ORG ، الذي يحل إلى 176.123.9 [.] 53 ، وهو عنوان IP نفسه تشارك في حملات Social Warfare و Easy WP SMTP. تستفيد الحملات الثلاث من نقاط الضعف في حقن XSS المخزنة ونشرت عمليات إعادة توجيه ضارة.
"مثل هذه الحالات تؤكد أهمية اتباع نهج أمان متعدد الطبقات يتضمن جدار حماية WordPress".
"يتم حث مالكي الموقع الذين يشغلون البرنامج المساعد Yuzo Related Posts على إزالته من مواقعهم على الفور ، على الأقل حتى يتم نشر إصلاح بواسطة المؤلف."
ليست هناك تعليقات:
إرسال تعليق