یک میلیون وب‎گاه در معرض تهدید: آسیب‎پذیری افزونه‎ی Jetpack وردپرس

مالکان وب‎گاه‎های مرتبط با شرکت وردپرس به دلیل بروز یک مشکل جدی که می‎تواند کاربران آن‎ها را مورد حمله قرار دهد ، باید افزونه Jetpack خود را هر چه سریع‎تر به‎روزرسانی کنند.
افزونه Jetpack یک افزونه معروف است که بهینه‎سازی، مدیریت و امنیت رایگان را برای وب‎گاه‎ها تامین می‎کند. این افزونه معروف توسط شرکت Automattic که شرکت زیرمجموعه WordPress.com است ساخته و طراحی شده است. همچنین پروژه متن‎باز وردپرس نیز در طراحی این افزونه همکاری داشته است و این افزونه هم اکنون بیش از یک میلیون بار نصب شده و فعال است.

محققان شرکت امنیت اینترنتی Sucuri یک نقطه آسیب‎پذیری (XSS) یافته‌اند که تمامی نسخه‎های Jetpack که از سال ۲۰۱۲ با نسخه ۲.۰ شروع می‎شود را تحت تأثیر خود قرار می‌دهد.
این مشکل در کد‎های کوتاه درج شده در قسمت Jetpack وجود دارد که به کاربران اجازه‎ی پیوست کردن ویدیو‎ها، عکس‎ها، اسناد، توئیت‎ها و دیگر اطلاعات خارجی را می‎دهد. از این قسمت می‎شود به راحتی کدهای بدافزاری جاوا اسکریپت را به نظرات وارد کرد.

از آنجایی که کد جاوا اسکریپت همواره ثابت است، در وب‎گاه‎های مورد حمله، هر بار که کاربران نظرات مخدوش (حاوی بدافزار) را می‎خوانند، در مرورگرهای خود از این کد استفاده می‌شود. این فرآیند ممکن است باعث این شود که کوکی شناسایی آن‎ها مانند اطلاعات جلسه مدیر (Administrator Session) مورد سرقت واقع شود و از این طریق استفاده‎کنندگان از وبگاه را مورد سوءاستفاده قرار داده یا هرزنامه بهینه‌سازی موتور جستجو را وارد وب‎گاه کرد.
مارک الکساندر مونتپاس، یکی از محققان شرکت Sucuri در یکی از پست‎هایش در وبگاه این شرکت عنوان کرد: «این نقطه آسیب‎پذیری به وضوح با استفاده از نظرات وردپرسی قابل سوءاستفاده است و پیشنهاد ما این است که همه در اولین فرصت نسبت به به‎روزرسانی اقدام کنند.»

وب‎گاه‎هایی که کدهای کوتاه درج شده در قسمت Jetpack را ندارند، به این مشکل گرفتار نخواهند شد، اما این قسمت از Jetpack مزیت‎های بخصوصی دارد که بسیاری از وب‎گاه‎ها مشتاق هستند از آن‎ها بهره ببرند.
طراحان Jetpack در همکاری با تیم امنیتی وردپرس در تلاش بوده‌اند تا با استفاده از سامانه خود-به‎روزرسانی مرکزی وردپرس، تمامی نسخه‎های آلوده شده را به‌روزرسانی کنند. نسخه‎های ۴.۰.۳ به بالاتر Jetpack از این امکانات بهره‎مند خواهند شد.
در صورتی که کاربران نخواهند از جدیدترین نسخه استفاده کنند، طراحان Jetpack برای تمامی ۲۱ نسخه آسیب‎پذیر به‎روزرسانی جزئی را انجام داده‎اند. پایگاه کد این Jetpack ها عبارتند از:
۲.۰.۷, ۲.۱.۵, ۲.۲.۸, ۲.۳.۸, ۲.۴.۵, ۲.۵.۳, ۲.۶.۴, ۲.۷.۳, ۲.۸.۳, ۲.۹.۴, ۳.۰.۴, ۳.۱.۳, ۳.۲.۳, ۳.۳.۴, ۳.۴.۴, ۳.۵.۴, ۳.۶.۲, ۳.۷.۳, ۳.۸.۳, ۳.۹.۷, ۴.۰.۳.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.