هشدار مركز ماهر؛
خطر نفوذ به سیستم مدیریت محتوای وردپرس
كمك وب: مركز مدیریت امداد و هماهنگی عملیات رخدادهای كامپیوتری نسبت به صدمه پذیری جدید زبان PHP كه سیستم مدیریت محتوای وردپرس را هدف قرار داده است، اخطار داد.
به گزارش كمك وب به نقل از مركز ماهر، محقق امنیت سایبری مركز Secarma، اخیرا یك آسیب پذیری بر روی زبان PHP منتشر نموده كه بخش Installations سیستم مدیریت محتوای سایت وردپرس ( Wordpress ) را صدمه پذیر خواهد نمود. طبق گزارش منتشره، این صدمه پذیری كه از نوع Code Execution بوده در تاریخ ۲۸ فوریه ۲۰۱۷ به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این صدمه پذیری رفع نشده است. این صدمه پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراكه صدمه پذیری در زبان برنامه نویسی PHP بوده و تمامی اپلیكیشن های مبتنی بر پی اچ پی ( PHP-based ) را تحت تأثیر خود قرار خواهد داد. این صدمه پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد كه همان عملكرد بازگرداندن String ها به PHP Object ها بوده و از سال ۲۰۰۹ كه نخستین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر كرد، بارها صدمه پذیری های مشابه و Exploit های آنها توسط روش های مختلف انتشار یافته كه سبب حملات مختلف ضد سرورها و اپلیكیشن PHP ها شده است. صدمه پذیری جدید انتشار یافته سبب می گردد كه نفوذگر بتواند داده های مد نظر خویش را روی سرور قربانی آپلود كند. این خود سبب می گردد كه راهی برای فراخوانی phar: // را برای نفوذگر فراهم آورد در نهایت امكان اجرای كدهای آلوده روی سرور قابل انجام خواهد بود. این صدمه پذیری روی پروسه عملكرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت آپلود فایلهای عكس آلوده روی سرور مدنظر، امكان Exploit كردن این صدمه پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر وردپرس، سیستم مدیریت محتوا Typo۳ و Contao هم دارای این صدمه پذیری هستند. برای انجام این حمله به وردپرس، دو فایل متفاوت Payload، یكی برای نسخه ۴.۹ و دیگری برای نسخه های پایین تر باید آماده شود. برخلاف وردپرس كه تا این لحظه به روز رسانی برای رفع صدمه پذری فوق عرضه نكرده است، تیم پشتیبانی Typo۳ در آخرین به روزرسانی خود این صدمه پذیری را رفع كرده است. این صدمه پذیری در هفته گذشته در دو كنفرانس BlackHat و BSides معرفی شده است. همینطور روی كتابخانه TCPDF هم وجود دارد كه برای كار كردن با فایلهای PDF در زبان PHP است. مركز ماهر از كاربران خواست كه برای جلوگیری از حمله ضد این CMS ها و كتابخانه های مشابه، به روزرسانی هایی كه در چند روز آینده عرضه خواهند شد را حتما روی سامانه های خود اعمال كنند. وردپرس یك سیستم مدیریت محتوا برای سایت ها و وبلاگ ها است. به بیان دیگر وردپرس یك سیستم مجانی وبلاگ نویسی است كه به صورت یك CMS یا نرم افزار متن باز برای مدیریت محتوای سایت ها معرفی شده است.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب