بنیاد وردپرس (Woprdpress.org)، در اقدامی نادر، افزونه UpdraftPlus را در تمام سایت‌های مبتنی بر WordPress به‌طور مستقیم و به‌اجبار به‌روز کرد.

این به روزرسانی یک آسیب‌پذیری با شناسه CVE-2022-0633 و دارای درجه اهمیت از نوع “بالا” (High) را برطرف می‌کند.

به گزارش مرکز مدیریت راهبردی افتا، ضعف امنیتی یادشده دارای درجه شدت 8.5 از 10 (بر طبق استاندارد CVSS) است و به مشترکین سایت، کاربران با سطح دسترسی پایین و سایر کاربران غیرمجاز اجازه می‌دهد تا زمانی که در سایت آسیب‌پذیر حساب کاربری دارند، آخرین نسخه پشتیبان از پایگاه‌داده خصوصی سایت را دریافت کنند. 
پایگاه‌های داده یادشده اغلب شامل اطلاعات حساس مشتریان یا تنظیمات امنیتی سایت هستند و دسترسی غیرمجاز به این پایگاه‌های داده می‌تواند میلیون‌ها سایت را در معرض افشای جدی داده‌هایی همچون رمزهای عبور، نام‌های کاربری و نشانی‌های IP قرار دهد.
سه میلیون سایت از این افزونه محبوب WordPress استفاده می‌کنند، بنابراین احتمال بهره‌جویی از ضعف امنیتی یادشده بسیار زیاد است و بر سهم قابل‌توجهی از اینترنت تأثیر می‌گذارد.
نسخه‌های 7/16/1 تا 2/22/1 افزونه UpdraftPlus از این آسیب‌پذیری تأثیر می‌پذیرند و نسخه‌های 1.22.3 یا 2.22.3 (برای نسخه Premium) جهت ترمیم این ضعف امنیتی منتشرشده‌اند.
افزونه UpdraftPlus به ساده‌سازی فرایند پشتیبان‌گیری و بازیابی از طریق توابع پشتیبان‌گیری زمان‌بندی‌شده کمک می‌کند و قابلیت دریافت خودکار را در نشانی ایمیل معتبر ارائه می‌دهد.
به دلیل اشکالات یافت شده در این افزونه، هر یک از کاربران تأییدشده که دارای سطوح دسترسی پایین هستند، می‌توانند ضمن ایجاد لینکی معتبر، فایل‌های پشتیبان را دریافت کنند. مشکل اعتبارسنجی نامناسب کاربران به داشتن یا نداشتن امتیازات لازم برای دسترسی به دو شناسه Nonce Identifier و Timestamp مربوط می‌شود.

حمله با ارسال درخواستی برای دستیابی به اطلاعات آخرین نسخه پشتیبان، شروع می‌شود. مهاجم با داشتن این اطلاعات، تابع “Send Backup via Email” را فعال می‌کند. این تابع معمولاً فقط در اختیار مدیر سایت است، اما باوجوداین آسیب‌پذیری، هرکسی که یک حساب کاربری در سایت موردنظر دارد می‌تواند بدون محدودیت به آن دسترسی داشته باشد زیرا بررسی مجوز و احراز هویت صورت نمی‌گیرد.
طبق اعلام سایت رسمی Updraft تاکنون موردی از سوءاستفاده از این ضعف امنیتی گزارش نشده است ولی برای ظهور و انتشار یک نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) تنها لازم است یک هکر اصلاحیه و به‌روزرسانی اعمال‌شده در آخرین نسخه ارائه‌شده از افزونه UpdraftPlus را مهندسی معکوس کند.
علاوه بر این، محققان در گزارش خود عنوان کرده‌اند که در نسخه‌های آسیب‌پذیر افزونه، قابلیت‌هایی برای کنترل غیرمستقیم وجود دارد، اما این کنترل‌ها برای متوقف کردن یک مهاجم ماهر کافی نیستند.

جزئیات بیشتر درباره اصلاحیه منتشرشده، در نشانی زیر قابل‌مطالعه است.

https://updraftplus.com/updraftplus-security-release-1-22-3-2-22-3/

لازم به ذکر است که این ضعف امنیتی در 25 بهمن 1400 کشف شد و بلافاصله در 27 بهمن، توسعه‌دهندگان این افزونه محبوب، نسخه 1.22.3 را برای ترمیم آن ارائه دادند. طبق آمار، در همان روز 783 هزار از این افزونه و در 28 بهمن، 1.7 میلیون از این افزونه به‌طور اجباری توسط بنیاد وردپرس به‌روزرسانی شدند.
به نقل از محققان امنیتی، این یکی از موارد بسیار نادر و استثنایی است که بنیاد وردپرس تمامی سایت‌ها را بدون توجه به تنظیمات آن‌ها، به‌صورت خودکار به‌روزرسانی کرده است.
مدیران سایت‌ها می‌توانند به‌روزرسانی را به‌صورت دستی و از طریق داشبورد انجام دهند. آخرین نسخه موجود و پیشنهادی، نسخه 1.22.4 است که جزئیات آن در نشانی زیر قابل‌مطالعه است.

UpdraftPlus WordPress Backup Plugin

توجه داشته باشید که این آسیب‌پذیری هیچ خطری برای سایت‌هایی که راهکاری برای ورود کاربران ندارند یا هیچ نسخه پشتیبانی نگهداری نمی‌کنند، ایجاد نمی‌کند.

منبع:

https://www.bleepingcomputer.com/news/security/wordpress-force-installs-updraftplus-patch-on-3-million-sites/

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2050/Staging/%D8%A8%D9%87%E2%80%8C%D8%B1%D9%88%D8%B2%D8%B1%D8%B3%D8%A7%D9%86%DB%8C-%D8%A7%D8%AC%D8%A8%D8%A7%D8%B1%DB%8C-WordPress

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)