محققان به تازگی هشدار داده اند که یک آسیب پذیری جدی که در دهها هزار وبسایت ورد پرس وجود داشت اکنون به صورت گسترده توسط هکرها مورد سواستفاده قرار گرفته است.
به گزارش ایتنا و به نقل از techradar، متخصصان تیم امنیت سایبری Wordfence Threat Intelligence اخیرا در یکی از پلاگینهای پلتفرم CMS به نام Tatsu Builder آسیب پذیری جدیدی کشف کرده اند که به اجرای کد از راه دور یا RCE مرتبط است.
این آسیب پذیری که تحت عنوان CVE-2021-25094 شناخته میشود برای اولین بار در ماه مارس سال جاری میلادی کشف شد. جالب است بدانید که این آسیب پذیری در دو نسخه پولی و رایگان پلاگین وردپرس وجود دیده شده است. هکرها از این نقص برای استقرار یک دراپر و پس از آن نصب بدافزارهای جانبی استفاده کرده اند. این دراپر معمولا در یک فولدر در آدرس wp-content/uploads/typehub/custom/ ذخیره میشود.
نام فایل یاد شده با یک نقطه شروع میشود که نشانی بر وجو یک فایل مخفی است. محققان اظهار داشته اند که این کار برای سواستفاده از نقص امنیتی یاد شده ضروری است زیرا به این ترتیب از یک شرایط رقابتی استفاده میکند. همچنین Wordfence بر این باور است که از آنجایی که این پلاگین در انبار WordPress.org فهرست نشده است دانستن این که دقیقا چند وبسایت آن را نصب کرده اند بسیار سخت است. با این حال تخمینها نشان از آن دارند که حدودا 20 الی 50 هزار وبسایت از Tatsu Builder بهره میبرند.
اگرچه از ده روز قبل به ادمینهای وبسایتها درباره وجود چنین نقصی هشدار داده شده بود اما Wordfence بر این باور است که حداقل یک چهارم وبسایتها همچنان آسیب پذیر باقی مانده اند و به این ترتیب چیزی در حدود 5 الی 12 هزار وبسایت هنوز در معرض حمله قرار دارند.
محققان در ادامه اظهار داشته اند که این حملات که از یک هفته قبل آغاز شدند هنوز ادامه دارند اما پیک حجم حملات زده شده است و تعداد آنها رو به کاهش است. بیشتر این حملات از نوع کاوشگری هستند و در پی تشخیص آسیب پذیر بودن یا نبودن وبسایتها هستند. همچنین بیشتر حملات تنها از جانب سه IPs مختلف انجام میشود.