منطقه تاریک

اخبار روز در حوزه امنیت سایبری

وبلاگ‌هاى Blagger و Wordpress مورد حمله هکرى قرار گرفتند

شنبه 25 آبان 1398

نوع مطلب :اخبار دنیای امنیت، 

اخیرا مهاجمان توانسته‌اند تعدادى از وبلاگ‌هاى Wordpress و Blogger را هک کرده و از وبلاگ‌هاى هک شده برای ایجاد پست‌هایی با مضمون اینکه کامپیوتر وبلاگ نویس هک شده است، استفاده کنند. مهاجم در این پست‌ها ادعا مى‌کند که علاوه بر تغییر رمزهاى عبور توانسته بصورت مخفیانه فیلم‌هاى خصوصى از قربانى که همان وبلاگ‌نویس است، ضبط کند.

مشخص نیست که هکرها چگونه به این وبلاگ‌ها دسترسی پیدا کرده‌اند اما معمولاً این نوع از حملات از طریق افشاء اطلاعاتی صورت می‌گیرد که در نگهدارى از آن اهمال کاری شده است.

چنین تهدیداتی معمولاً برای فردى که مورد حمله قرار گرفته و اطلاعات وی افشاء شده است از طریق ایمیل ارسال می‌شود. در حمله اخیر به دارندگان وبلاگ‌ها گفته شده است که براى جلوگیرى از انتشار فیلم‌هاى خصوصى خود باید مبلغى را به هکر پرداخت کند. 

هرچند در این حمله تعدادى از وبلاگ‌هاى کاربران مورد نفوذ قرار گرفته و هکر از این طریق اقدام به تهدید و اخاذى نموده است اما اینکه آیا واقعا مهاجم توانسته به کامپیوتر شخصى کاربر نفوذ کرده و فیلم‌هاى خصوصى وى را ضبط کند، مشخص نیست. از این رو به نظر مى‌رسد این پیام‌ها یک تهدید توخالى بوده و کامپیوتر کاربران هک نشده است.

بررسی‌ها نشان مى‌دهد حدود ۱۵۰۰ وبلاگ در Blogger و بیش از ۲۰۰ وبلاگ Wordpress به این روش هک شده‌اند و احتمال مى‌رود تعدادى از کاربران، پول درخواستی را به هکر پرداخت کرده باشند. 

با بررسى ۳ آدرس بیت کوین اعلام شده از سوى هکرها مشخص گردید که هکرها، ۱۲ بیت کوین درآمد داشته اند که باتوجه شرایط کنونى ارزش بیت کوین حدود ۱۱۰۰۰۰  دلار برآورد مى‌شود.

از آنجا که آدرس‌های بیت کوین اعلامى قدیمى هستند. مشخص نیست که آیا تمام ۱۲ بیت کوین توسط مالکان وبلاگ‌هاى هک شده پرداخت شده است یا خیر.

جدا از مسئله نحوه پرداخت، چنین حملاتى نشان مى دهد که اینگونه تهدیدات راهی ساده برای کسب درآمد بوده و سقفى هم ندارند. از این رو به نظر مى‌رسد اینگونه کلاهبرداری‌ها به یک شیوه متداول تبدیل شده و در آینده نیز همچنان مورد استفاده قرار خواهند گرفت.

لذا کلیه کاربران اینترنت و دارندگان وبلاگ باید به این نکته توجه نمایند که بسیارى از هکرها به دنبال ایجاد ترس و اخاذى از آنها هستند و نباید فریب اینگونه تهدیدات را بخورند.


رفع آسیب‌پذیری Disqus؛ افزونه‌ی ارسال نظرِ وردپرس

یکشنبه 26 مرداد 1393

نوع مطلب :اخبار دنیای امنیت، 

Disqus یکی از افزونه‌های مهم سامانه‌ی مدیریت محتوای ورد‌پرس، که برای ایجاد نظرات و بحث در وب‌گاه‌های وردپرس استفاده می‌شود، تعدادی از آسیب‌پذیری‌های امنیتی مهم را وصله کرده است. این آسیب‌پذیری‌ها در تمام نسخه‌ها تا نسخه‌ی 2.75 موجود هستند. 
مهم‌ترین آسیب‌پذیری‌های وصله شده در نسخه‌ی 2.76 از این محصول، مربوط به آسیب‌پذیری CSRF در مولفه‌ی manage.php هستند. مهاجم برای حمله به این آسیب‌پذیری می‌تواند یک وب‌گاه مخرب راه‌اندازی کند و کد سوء‌استفاده را به مرورگر کاربر تزریق نمایدو خطاهای امنیتی مربوط به CSRF در نرم‌افزار‌های وب رایج هستند و البته این‌ آسیب‌پذیری‌ها به یکی از علاقه‌مندی‌های مهاجمان سایبری نیز تبدیل شده‌اند.
 
توضیحات فنی آسیب‌پذیری
سه پارامتر از افزونه‌ی مذکور به نام‌های disqus_replace ،disqus_public_key و disqus_secret_key  بدون هیچ فیلتری به تابع update_option به صورت مستقیم ارسال می‌شوند. در مستندات راهنمایی تابع update_option آمده است که این تابع هر پارامتری را که دریافت می‌کند در پایگاه‌داده ذخیره می‌کند. 
بنابراین اگر در توسعه‌ی یک افزونه توسعه‌دهندگان فیلتر و اعتبارسنجی متغیرها را قرار دهند۷ مشکلی به وجود نمی‌آید، اما در افزونه‌ی disqus این مسئله رعایت نشده است. Nik Cubrilovic محققی است که این آسیب‌پذیری را کشف و گزارش کرده است. 
در ادامه در پرونده‌ی manage.php مشاهده می‌شود که پارامتر‌های مذکور، با استفاده از get_option در دست‌رس قرار می‌گیرند، Cubrilovic در وبلاگ خود کد سوء‌استفاده از این آسیب‌پذیری را شرح داده است و از آن برای تست نفوذ یک وب‌گاه نیز استفاده کرده است. این محقق دو آسیب‌پذیری دیگر را نیز شرح داده است که به اندازه‌ی آسیب‌پذیری اول جدی نیستند. 
 
با توجه به محبوبیت سامانه‌ی مدیریت محتوای وردپرس و تمایل به استفاده از افزونه‌ی disqus در این وب‌گاه، به کاربران توصیه می‌شود هر چه زودتر افزونه‌ی مذکور را به‌روزرسانی کنند تا از خطرات احتمالی این آسیب‌پذیری در امان باشند.




فهرست وبلاگ
پیوندهای روزانه
طبقه بندی
آرشیو
پیوندها
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
جستجو
اَبر برچسبها
شبکه اجتماعی فارسی کلوب | Buy Mobile Traffic | سایت سوالات