چرا ووردپرس آسیب‌پذیری روز صفر را علنی نکرد؟

به گزارش کلیک، ووردپرس هفته‌ی گذشته یک باگ کد اجرایی از راه دور را به طور مخفیانه اصلاح کرد.ووردپرس اعلام کرده که این آسیب‌پذیری را به مدت یک هفته از دید کاربران پنهان کرده تا میلیون‌ها کاربر این سیستم مدیریت محتوی، قبل از اطلاع مهاجمان سایبری و سواستفاده‌ی آنها، وقت کافی برای اعمال اصلاحیه و به‌روزرسانی نگارش‌های خود را داشته باشند.

«آرون کمپل» یکی از پشتیبانان اصلی ووردپرس در این رابطه توضیح می‌دهد: ” در مورد مسائل امنیتی رویه‌ی اصلی ما همواره اطلاع‌رسانی سریع بوده است. اما در مورد اخیر عمدا اطلاع‌رسانی را یک هفته به تعویق انداختیم تا از امنیت میلیون‌ها وب‌سایتی که از ووردپرس استفاده می‌کنند، مطمئن شویم.“

باگ جدیدا کشف شده مربوط به قسمت REST API Endpoint در نسخه‌ی ۴٫۷ ووردپرس است. هر سایتی که در ماه ژانویه با این نگارش به‌روز شده و بسته‌ی اصلاحی که هفته‌ی پیش عرضه شد را نصب نکرده باشد، همچنان در برابر این باگ تزریق محتوا آسیب‌پذیر است. خرابکاران با استفاده از این نقص امنیتی قادر به تغییر مطالب یا ویرایش صفحات وب‌سایت‌ها خواهند بود؛ ضمنا بسته به پلاگین‌های نصب شده، احتمال استفاده از این آسیب‌پذیری برای اجرای از راه دور کد‌ها هم وجود دارد.

این باگ توسط یکی از پژوهشگران امنیتی شرکت Sucuri به نام «مارک الکساندر مونتپس» کشف شد؛ وی از این نقص امنیتی با عنوان خطرناک‌ترین مورد کشف شده در بسته‌ی اصلاحی هفته‌ی قبل یاد می‌کند.

اظهارات مونتپس: ”به خاطر وجود مساله‌ی دستکاری محتویات تایپ شده، یک مهاجم سایبری به راحتی امکان تغییر محتویات هر پست یا صفحه در وب سایت قربانی را خواهد داشت. ضمنا با استفاده از همین ضعف خرابکاران می‌توانند میانبرهای خاصی برای سواستفاده از پلاگین‌ها و بهره‌برداری از آسیب‌پذیری‌‌ها تعریف نمایند؛ به این ترتیب این فعالیت‌ها در قالب ویرایش‌های مالک اصلی محسوب شده و به راحتی می‌توان محتویات سایت را با کمپین هرزنامه‌ای سئو کرده یا تبلیغات دلخواه را در آن درج نمایند. بسته به پلاگین‌های فعال شده در سایت، حتی امکان اجرای آسان کدهای پی‌اچ‌پی هم میسر می‌شود.“

البته این طور نبود که هیچ کسی از این نقص امنیتی مطلع نشده باشد. تیم امنیتی ووردپرس قبل از انتشار اصلاحیه به میزبان‌های وب‌سایت‌های ووردپرسی و عرضه‌کنندگان دیوارهای آتش مثل Sucuri، SiteLock، Cloudfare و Incapsula که عهده‌دار وظیفه‌ی محافظت از کاربران در برابر تلاش‌های هکرها به‌منظور سواستفاده‌ی احتمالی‌اند، اطلاعات لازم را داده بود.

کمپل: ”میزبان‌ها به‌منظور پیاده‌سازی راهکارهای محافظی ارتباط نزدیکی با تیم‌ امنیتی‌مان داشتند و ضمنا به طور پیوسته حملاتی که برای سواستفاده از کاربران می‌شود را هم مرتبا بررسی می‌کنند.

داده‌های تمام ۴ دیوار آتش تحت وب و میزبان‌های ووردپرسی هیچ نشانی از سو استفاده از آسیب‌پذیری هکرها نداشت. در نتیجه ما تصمیم گرفتیم خبر وجود نقص امنیتی را به تعویق بیاندازیم تا به‌روزرسانی‌های خودکار اجرا شده و قبل از علنی شدن مساله، از ایمن شدن وضعیت اکثر کاربران مطمئن شویم.“

شرکت Akami هم که از موضوع اطلاع داشت به‌منظور کشف شواهدی از سواستفاده، کلیه‌ی سرورهای خود را تحت نظر قرار داده بود. خوشبختانه این شرکت هم هیچ مدرکی دال بر استفاده‌ی هکرها از نقص امنیتی جدید پیدا نکرده بود.