MalCare، Blogvault، و افزونه‌های WPRemote آسیب‌پذیری‌ها را وصله می‌کنند که امکان تصاحب سایت از طریق اعتبارنامه‌های API به سرقت رفته – WP Tavern

دو روز پس از انتشار توصیه امنیتی Snicco با اثبات مفهوم، MalCare یک پچ را فشار داد در نسخه 5.16 در تاریخ 8 ژوئیه 2023 به همراه اطلاعیه ای در وبلاگ افزونه:

MalCare گزارش می دهد که کاربران آن هیچ مدرکی دال بر سوء استفاده از این آسیب پذیری ندیده اند.

درخواست ها با مقایسه یک راز مشترک ذخیره شده به عنوان متن ساده در پایگاه داده وردپرس با راز ارائه شده توسط برنامه راه دور MalCare احراز هویت می شوند.

این اقدامات مخرب بالقوه شامل ایجاد کاربران سرکش، آپلود فایل‌های تصادفی در سایت و نصب و حذف افزونه‌ها است.

Snicco، یک ارائه دهنده خدمات امنیتی وردپرس، دارد توصیه ای منتشر کرد بر روی یک آسیب پذیری در افزونه MalCare که در بیش از 300000 سایت فعال است.

احراز هویت یک سیستم حیاتی است و هر گونه پیشرفت باید با دقت انجام شود. ما افزونه‌های مختلف و بهترین روش‌ها را در اکوسیستم خود بررسی کرده‌ایم تا راه‌حل خود را ارائه دهیم.

آلکان گفت: «MalCare جزئیات کامل این آسیب‌پذیری را سه ماه قبل از انتشار عمومی دریافت کرده است، و علی‌رغم ارائه کمک (رایگان) ما، آن‌ها به‌طور نامحسوس آن را رد کردند زیرا «ظاهر» این استاندارد صنعتی برای احراز هویت API است.

این می تواند به مهاجمان اجازه دهد تا به طور کامل سایت را تحت کنترل خود درآورند زیرا می توانند برنامه راه دور MalCare را جعل کنند و هر گونه اقدام اجرا شده را انجام دهند.

با توجه به گفتمان عمومی فعلی، ما به روز رسانی افزونه خود را تسریع می کنیم. ما یک عرضه توسط EOD را آغاز خواهیم کرد.

علاوه بر این، نگرانی‌هایی مطرح شد، زیرا آسیب‌پذیری مستلزم پیش‌شرطی است که به خودی خود آسیب‌پذیر خواهد بود.»

کالوین آلکان، محقق امنیت وردپرس، گفت: MalCare از رمزنگاری شکسته برای احراز هویت درخواست‌های API از سرورهای راه دور خود به سایت‌های وردپرس متصل استفاده می‌کند.

در شرایط نادر، جایی که یک سایت دارای آسیب‌پذیری تزریق SQL با شدت بالا است، ممکن است مهاجم بتواند کلید MalCare را بخواند. برای رسیدگی به چنین مسائلی، ما در حال تقویت بیشتر سیستم های احراز هویت خود هستیم.

بهره برداری مستلزم رعایت یک پیش شرط است، مانند سایتی با آسیب‌پذیری تزریق SQL در یک افزونه، موضوع یا هسته وردپرس، یا پایگاه داده در معرض خطر در سطح میزبانی یا مشمول آسیب‌پذیری دیگری است که به مهاجم اجازه می‌دهد بخواند یا آپدیت گزینه های وردپرس

اسنیکو خاطرنشان کرد که همین آسیب‌پذیری در افزونه‌های WPRemote (20 هزار نصب) و Blogvault (100 هزار نصب) نیز وجود دارد، زیرا کدهای مشابهی دارند. کاربران هر یک از این افزونه ها یا افزونه MalCare باید در اسرع وقت پس از انتشار توصیه های آسیب پذیری و اثبات مفهوم، به آخرین نسخه ها به روز شوند.


منبع: https://wptavern.com/malcare-blogvault-and-wpremote-plugins-patch-vulnerabilities-allowing-site-takeover-through-stolen-api-credentials