Pixabay
خلال الأسابيع الثلاثة الماضية ، الثلاثي من zeroday الحرجة نقاط الضعف في الإضافات ووردبرس] كشفت 160،000 المواقع للهجمات التي تسمح للمتسللين الإجراميين بإعادة التوجيه عن غير قصد زوار الوجهات الخبيثة. أمن أعلن نفسه مزود الذي كشف علنا العيوب قبل بقع كانت المتاحة لعبت دورا رئيسيا في الهزيمة ، على الرغم من التأخير من قبل مطوري البرنامج المساعد ومسؤولي الموقع في النشر و تركيب بقع ساهم أيضا.
خلال الأسبوع الماضي ، الضعف zeroday في كل من Yuzo الوظائف ذات الصلة والأصفر قلم البصرية موضوع مخصص وورد لقد أتت الإضافات – التي يستخدمها 60،000 و 30،000 موقع على التوالي – تحت الهجوم. تمت إزالة كل من الإضافات من البرنامج المساعد وورد مستودع في وقت قريب من نشر منشورات zeroday ، ترك مواقع الويب خيارًا أقل من إزالة الإضافات. على الجمعة (ثلاثة أيام بعد الكشف عن الضعف) ، الأصفر أصدر قلم رصاص التصحيح. في وقت الإبلاغ عن هذا المنشور ، ظلت Yuzo ذات الصلة مغلقة مع عدم وجود التصحيح المتاحة.
Contents
قراءة متعمقة
اثنين من الثغرات الخطيرة ووردبريس البرنامج المساعد يجري استغلالها في يستغل wildIn-the-wild ضد Social Warfare ، البرنامج المساعد المستخدم بواسطة 70،000 موقع ، بدأت قبل ثلاثة أسابيع. المطورين لذلك المساعد بسرعة مصححة العيب ولكن ليس قبل المواقع التي تستخدمه تم اختراق.
يغش والكسب غير المشروع على الانترنت
كل ثلاث موجات من مآثر تسببت في المواقع التي تستخدم إضافات عرضة لإعادة توجيه الزوار إلى المواقع بشكل خفي دفع الحيل الدعم الفني وغيرها من أشكال الكسب غير المشروع على الانترنت. في الكل ثلاث حالات ، وجاءت مآثر بعد موقع يسمى البرنامج المساعد نشرت نقاط الضعف بيانات مفصلة حول الأساس نقاط الضعف. وشملت الوظائف ما يكفي من إثبات مفهوم استغلال رمز وغيرها من التفاصيل الفنية لجعلها تافهة لاختراق المواقع الضعيفة. في الواقع ، بعض التعليمات البرمجية المستخدمة في الهجمات يبدو أنه تم نسخها ولصقها من البرنامج المساعد نقاط الضعف.
في غضون ساعات من ثغرات البرنامج المساعد في نشر الأصفر قلم رصاص موضوع البصرية والكشف عن الحرب الاجتماعية ، و zeroday تم استغلال نقاط الضعف بنشاط. استغرق 11 يوما بعد البرنامج المساعد نقاط الضعف إسقاط Yuzo الوظائف ذات الصلة zeroday ل في البرية يستغل ليتم الإبلاغ عنها. لم تكن هناك تقارير يستغل أي من نقاط الضعف قبل إفصاحات.
جاءت كل من zeroday المشاركات البرنامج المساعد ثلاثة الضعف مع لغة النمذجة التي قالت إن المؤلف الذي لم يكشف عن اسمه كان ينشر لهم للاحتجاج “المشرفين على منتدى دعم وورد تابع السلوك غير اللائق. “أخبر المؤلف آرس أنه / هو حاول فقط لإخطار المطورين بعد أن كانت zerodays بالفعل نشرت.
“سياستنا الحالية للإفصاح هي الكشف الكامل نقاط الضعف ثم محاولة لإخطار المطور من خلال منتدى دعم WordPress ، على الرغم من أن المشرفين هناك … في كثير من الأحيان فقط احذف تلك الرسائل ولا أبلغ أي شخص بذلك ” كتب المؤلف في رسالة بريد إلكتروني.
وفقا لمدونة ما بعد الحرب الاجتماعية المطور الحرب الإضافات التي نشرت يوم الخميس ، وهنا الجدول الزمني ل 21 مارس ، عندما نقاط الضعف في البرنامج المساعد أسقطت zeroday لهذا البرنامج المساعد:
02:30 مساءً (تقريبًا) – شخص لم يذكر اسمه نشرت استغلال للقراصنة للاستفادة من. نحن لا نفعل ذلك معرفة الوقت المحدد للافراج لأن الفرد لديه خفية وقت النشر. تبدأ الهجمات على المواقع المطمئنة تقريبا مباشرة.
02:59 م – يكتشف WordPress المنشور من الضعف ، يزيل الحرب الاجتماعية من WordPress.org مستودع ، ورسائل البريد الإلكتروني لدينا فريق حول هذه القضية.
03:07 مساءً – بطريقة مسؤولة ومحترمة ، WordFence ينشر اكتشافهم للنشر و الضعف ، وعدم إعطاء تفاصيل حول كيفية الاستفادة من استغلال.
03:43 PM – كل عضو في الإضافات Warfare يتم إحضار فريق إلى السرعة ، وإعطاء تعليمات التكتيكية ، و يبدأ اتخاذ إجراء بشأن الموقف في كل منطقة: التطوير والاتصالات ودعم العملاء.
04:21 م – إشعار يقول بأننا على علم به استغلال ، جنبا إلى جنب مع تعليمات لتعطيل البرنامج المساعد حتى مصححة ، تم نشرها على تويتر وكذلك على موقعنا.
05:37 PM – فريق تطوير Warfare Plugins يجعل الكود النهائي يلتزم بتصحيح الثغرة والتراجع عن أي حقن البرامج الضارة التي تسببت في إعادة توجيه المواقع. الاختبار الداخلي يبدأ.
05:58 بعد الظهر – بعد اختبار داخلي صارم ، و إرسال نسخة مصححة إلى WordPress للمراجعة ، الإصدار الجديد of Social Warfare (3.5.3).
06:04 مساءً – إرسال بريد إلكتروني إلى Social Warfare – Pro يتم إرسال العملاء مع تفاصيل الضعف ، و تعليمات حول كيفية التحديث على الفور.
لا تندم
قال المؤلف إنه قام بالبحث عن كل من Yuzo Related Posts و Yellow قلم رصاص للأمان بعد ملاحظة أنه قد تمت إزالته بدونه شرح من مستودع ووردبريس البرنامج المساعد ويصبح مشبوه. “لذلك في حين أن وظائفنا يمكن أن تؤدي إلى استغلال ، فإنه أيضا [كذا] ممكن أن تحدث عملية موازية ، ” كتب المؤلف.
وأشار المؤلف أيضا إلى أن 11 يوما مرت بين الكشف عن yuzo الوظائف ذات الصلة zeroday والمعروفة الأولى تقارير أنه كان يجري استغلالها. تلك المآثر لم تكن ممكن كان المطور مصححة الضعف خلال ذلك وقال الفاصل.
طلب ما إذا كان هناك أي ندم للمستخدمين النهائيين الأبرياء و أصحاب المواقع الذين تضرروا من قبل مآثر ، وقال المؤلف: “ليس لدينا معرفة مباشرة بما يفعله أي متسلل ، لكن هذا يبدو من المرجح أن عمليات الكشف لدينا قد أدت إلى الاستغلال المحاولات. هذه الإفصاحات الكاملة قد توقفت منذ فترة طويلة إذا تم تنظيف الاعتدال من منتدى الدعم ببساطة ، لذلك أي الأضرار الناجمة عن هذه يمكن تجنبها ، إذا كان لديهم وافق ببساطة على تنظيف ذلك “.
رفض المؤلف تقديم اسم أو تحديد المكون الإضافي نقاط الضعف بخلاف القول أنه كان مزود الخدمة ذلك يجد نقاط الضعف في الإضافات وورد. “نحن نحاول الحفاظ عليها قبل المتسللين ، لأن عملائنا يدفعون لنا لتحذيرهم نقاط الضعف في المكونات الإضافية التي يستخدمونها ، ومن الواضح أنها أفضل لتحذيرهم قبل أن يتم استغلالهم بدلاً من بعد.”
نقاط الضعف في البرنامج المساعد Whois؟
يحتوي موقع الويب الخاص بضعف المكونات على موقع تذييل لحقوق الطبع والنشر على كل صفحة تسرد White Fir Designs، LLC. سجلات Whois ل pluginvulnerabilities.com و whitefirdesign.com قائمة أيضا صاحب تصاميم التنوب الأبيض في قرية غرينوود ، كولورادو. أ البحث عن قاعدة بيانات الأعمال عن ولاية كولورادو يدل على أن الأبيض تأسست شركة Fir Designs في عام 2006 من قبل شخص يدعى جون مايكل Grillot.
جوهر لحم البقر المؤلف مع منتدى الدعم WordPress المشرفين ، وفقا لمواضيع مثل هذا واحد ، هو أنهم إزالة مشاركاته وحذف حساباته عندما يكشف عن غير مثبت نقاط الضعف في المنتديات العامة. وقال في الآونة الأخيرة وظيفة على المتوسط هو “محظور مدى الحياة” لكنه تعهد بمواصلة هذه الممارسة لأجل غير مسمى باستخدام حسابات مكياج. المشاركات مثل هذا المعرض واحد الغضب العلني في البرنامج المساعد بسبب دعم WordPress تم تخمير المنتديات منذ عام 2016 على الأقل.
مما لا شك فيه ، هناك الكثير من اللوم للانتشار في الآونة الأخيرة مآثر. تطوع الإضافات ووردبريس طويلة يمثل أكبر مخاطر أمنية للمواقع التي تشغل WordPress ، وحتى الآن ، لم يكتشف مطورو نظام إدارة المحتوى المفتوح المصدر طريقة لتحسين الجودة بما فيه الكفاية. ما هو أكثر من ذلك ، في كثير من الأحيان يستغرق وقتًا طويلاً للغاية بالنسبة لمطوري البرنامج المساعد لإصلاح الحالة الحرجة نقاط الضعف ومسؤولي الموقع لتثبيتها. يقدم منشور مدونة Warfare Plugins أحد أفضل الاعتذارات على الإطلاق لدوره في عدم اكتشاف الخلل الحرج قبل ذلك استغلال.
لكن الجزء الأكبر من اللوم يذهب إلى حد بعيد إلى الوصف الذاتي مزود الأمن الذي يعترف بسهولة لإسقاط zerodays كنموذج للاحتجاج أو ، بدلاً من ذلك ، كوسيلة للحفاظ على سلامة العملاء (كما إذا كان استغلال رمز ضروري للقيام بذلك). مع عدم وجود اعتذار ولا ندم من المفصح – ناهيك عن عدد مذهل من عربات التي تجرها الدواب ، الإضافات سيئة المراجعة في مستودع WordPress لن يكون من المستغرب أن نرى المزيد من عمليات الكشف في zeroday الايام القادمة.
تم تحديث هذا المنشور لإزالة التفاصيل غير الصحيحة حول White التنوب التصميم.