در 5 می، Patchstack یک توصیه امنیتی در مورد یک آسیبپذیری با شدت بالا در ACF (فیلدهای سفارشی پیشرفته) منتشر کرد که احتمالاً بیش از 4.5 میلیون کاربر را تحت تأثیر قرار میدهد. WP Engine این آسیبپذیری را در 4 می اصلاح کرد، اما گروه اطلاعات امنیتی Akamai (SIG) گزارش نویسی که مهاجمان در عرض 24 ساعت پس از انتشار Patchstack شروع به سوء استفاده از آن کردند.
امنیت Patchstack مشاوره ای شامل تفکیک آسیب پذیری، بار نمونه و جزئیات وصله است.
اگر چه آسیب پذیری، اختصاص داده شده است CVE-2023-30777، به سرعت وصله شد و WP Engine هشدار داده شد کاربران آن در همان روز، صاحبان سایت در به روز رسانی به آخرین نسخه وصله شده افزونه (6.1.6) کند بوده اند. تنها 31.5 درصد از پایگاه کاربران این افزونه نسخه 6.1+ را اجرا می کنند، که بخش قابل توجهی را همچنان آسیب پذیر می کند مگر اینکه با اقدامات امنیتی اضافی مانند وصله های مجازی محافظت شوند.
«آنچه در این مورد به خصوص جالب است خود پرس و جو است: عامل تهدید کد نمونه Patchstack را کپی کرده و از آن استفاده کرده است..“
رایان بارنت، محقق امنیت اصلی Akamai، گفت: «هنگامی که جزئیات بردار اکسپلویت به صورت عمومی منتشر شد، تلاشهای اسکن و بهرهبرداری به سرعت افزایش مییابد. «برای محققان امنیتی، سرگرمیها و شرکتهایی که به دنبال مشخصات ریسک خود هستند، آسیبپذیریهای جدید را پس از انتشار بررسی میکنند. با این حال، حجم در حال افزایش است، و مقدار زمان بین انتشار و رشد گفته شده به شدت کاهش می یابد. Akamai SIG داده های حمله XSS را تجزیه و تحلیل کرد و شناسایی کرد حملات در عرض 24 ساعت پس از انتشار عمومی اکسپلویت PoC شروع می شود.
بارنت خاطرنشان کرد که مهاجمانی که از کد نمونه Patchstack استفاده میکنند نشان میدهد که این تلاشهای پیچیده نیستند، اما توصیههای امنیتی جامع باعث میشود سایتهای آسیبپذیر به راحتی هدفگیری شوند.
بارنت گفت: “این نشان می دهد که زمان پاسخ برای مهاجمان به سرعت در حال کاهش است و نیاز به مدیریت سریع و سریع وصله ها را افزایش می دهد.”
منبع: https://wptavern.com/acf-plugins-reflected-xss-vulnerability-attracts-exploit-attempts-within-24-hours-of-public-announcement
بارنت گفت: “استفاده از این منجر به یک حمله XSS منعکس شده می شود که در آن یک عامل تهدید می تواند اسکریپت های مخرب، تغییر مسیرها، تبلیغات و سایر اشکال دستکاری URL را به یک سایت قربانی تزریق کند.” این به نوبه خود آن اسکریپت های نامشروع را به بازدیدکنندگان آن سایت آسیب دیده منتقل می کند. این دستکاری اساساً برای صاحب سایت کور است و این تهدیدات را حتی خطرناک تر می کند.