هشدار حمله‌ی لغت‌نامه‌ای به سایت‌های وردپرس!

به گزارش سیتنا، وردپرس به زبان ساده یک سیستم سایت ساز و پکیج راه انداز وب سایت و وبلاگ (از هر نوع و هر مدل است) که به صورت رایگان کاربران می‌توانند آن‌را از طریق وب سایت رسمی وردپرس (فارسی یا انگلیسی) دانلود کرده و برروی فضای اینترنتی خود نصب کنند. سپس وب سایت خود را به‌طور کامل با جزئیات و امکانات متفاوت و طرح دلخواه برروی آن راه‌اندازی کرده و مطالب و بخش‌های مختلف سایت را خودشان مدیریت کنند.

اما به‌طور کلی وردپرس یک نرم‌افزار تحت وب متن باز (open source) است که در دسته سیستم‌های مدیریت محتوا یا همان CMS ها که مخفف (Content Management System) هستند، قرار می‌گیرد. از آنجاکه سیستم وردپرس رایگان است، هر کاربری می‌تواند فایل‌های مربوطه آن را دانلود کرده و مورد استفاده قرار دهد. البته بدیهی است که وردپرس بخشی از نیازهای کاربران را برآورده می‌کند اما برای شخصی‌سازی و برآورده ساختن سایر نیازها، به متخصصانی نیاز است که تغییرات لازم را ایجاد کرده و یا سایر امکانات و ابزار مورد نیاز کاربران را فراهم کنند.

شرکت امنیت وردپرس (Defiant) اعلام کرده است که ماژول "Wordfence" این شرکت (یک سیستم دیوار آتش در برای حملات جست‌وجوی فراگیر برای سایت‌های وردپرس) در ماه گذشته، بیش از پنج میلیون تلاش ورود از سایت‌های آلوده به دیگر پورتال‌های وردپرس را شناسایی کرده است.

کارشناسان امنیتی این حملات را حملات «لغت‌نامه‌ای» می‌نامند. این حملات، پیاده‌سازی "XML-RPC" وردپرس را به‌منظور جست‌وجوی فراگیر ترکیب نام کاربری و گذرواژه‌ی کاربر، تا زمانی که یک حساب معتبر کشف شود، هدف قرار می‌دهند.

"XML-RPC" یک نقطه‌ی پایانی است که کاربران خارجی می‌توانند از راه دور، مطالب را از طریق وردپرس یا سایر API‌ها به یک سایت وردپرس ارسال کنند. این نقطه‌ی پایانی در دایرکتوری ریشه‌ی وردپرس در فایل "xmlrpc.php" واقع شده است.

مشکل «XML-RPC» این است که در اجرای پیش‌فرض خود، محدودیتی بر تعداد درخواست‌های رابط کاربری که به سوی آن فرستاده می‌شود، اعمال نمی‌کند؛ بنابراین، یک هکر می‌تواند در طول روز تلاش کند تا با ترکیب‌های مختلف از نام کاربری و رمزعبور، وارد وب‌سایت شود. هیچ‌کس هشداری دریافت نخواهد کرد، مگر اینکه ثبت‌ها به صورت دستی، بررسی شوند.

این حمله توسط یک عامل تهدید و با استفاده از چهار سرور فرمان و کنترل (C۲) انجام می‌شود. این سرورها، دستورالعمل‌های حمله را از طریق شبکه‌ای با بیش از ۱۴ هزار سرور پروکسی اجاره‌شده از سرویس "best-proxies [.] ru" ارسال می‌کنند و سپس این اطلاعات را به اسکریپت‌های مخرب بر روی سایت‌های وردپرس آلوده منتقل می‌کند.

روش حمله به سایت‌های وردپرس

این اسکریپت‌ها لیستی از اهدافی را که از سرور فرمان و کنترل دریافت می‌کنند، می‌خوانند، سپس لیستی از گذرواژه‌ها را بر اساس یک لیست از پیش تعریف‌شده از الگوهای رمزنگاری جمع‌آوری می‌کنند و درنهایت تلاش می‌کنند تا از گذرواژه‌ی جدید ایجادشده برای ورود به حساب کاربری سایت دیگر استفاده کنند.

اگر اسکریپت تلاش کند تا به‌عنوان کاربری با نام "alice" به سایت example.com وارد شود، گذرواژه‌هایی مانند "alice۱"، "alice۲۰۱۸" و غیره را ایجاد خواهد کرد. ممکن است این روش در یک سایت داده‌شده مؤثر واقع نشود، اما درصورت استفاده در تعداد زیادی از اهداف، می‌تواند موفقیت‌آمیز باشد.

بر اساس اطلاعات سایت مرکز ماهر، از آنجاکه مهاجمان از شبکه‌ای از پروکسی‌ها برای مخفی‌کردن محل سرورهای فرمان و کنترل خود استفاده می‌کنند، محققان نمی‌توانند تمامی فعالیت‌های این بات‌نت را پیگیری کنند، اما با بررسی سایت‌های آلوده، Defiant توانست اسکریپت‌های جست‌وجوی فراگیر مورد استفاده را پیدا کند. این اسکریپت‌ها، ورودی "POST" را از سرورهای C۲ دریافت می‌کنند. این ورودی، دامنه‌های هدف و کلمه‌های مورد نیاز هنگام حملات جست‌وجوی فراگیر را به اسکریپت اعلام می‌کند.

هنگام بررسی بیش‌تر این اسکریپت، آن‌ها متوجه شدند درصورتی که اسکریپت از سایت آلوده حذف شود، یک آدرس URL را برای بازیابی لیست‌ کلمات دریافت می‌کند. بدین ترتیب محققان توانستند آدرس IP یکی از سرورهای C۲ را دریافت کنند. پس از دسترسی به سرور C۲، آن‌ها توانستند به دستورات مختلف صادرشده از این سرور و تعدادی از سایت‌هایی که بخشی از بات‌نت بودند، دسترسی پیدا کنند.

شرکت امنیت وردپرس در تلاش است تا کاربران آلوده را از این حملات مطلع کند و این بات‌نت را از بین ببرد. از این رو، به صاحبان سایت‌های وردپرس توصیه می‌کند تا با نصب افزونه‌ی امنیتی وردپرس با نام "WordFence Defiant"، از سایت وردپرس خود در برابر حملات جست‌وجوی فراگیر و لغت‌نامه‌ای محافظت کنند. این افزونه، ‌ میزان تلاش ورود ناموفق را که مهاجم می‌تواند قبل از خروج از سیستم انجام دهد، محدود می‌کند.

انتهای پیام