ستساعدك المقالة التالية: أثرت ثغرة أمنية في البرنامج المساعد للنسخ الاحتياطي في WordPress على أكثر من 3 ملايين عملية تثبيت
اكتشف الباحث الأمني في Automattic ثغرة أمنية تؤثر على مكون النسخ الاحتياطي الشهير في WordPress، UpdraftPlus. سمحت الثغرة الأمنية للمتسللين بتنزيل أسماء المستخدمين وكلمات المرور المجزأة. يطلق عليها Automattic اسم “الثغرة الأمنية الشديدة”.
UpdraftPlus WordPress البرنامج المساعد للنسخ الاحتياطي
يعد UpdraftPlus مكونًا إضافيًا شائعًا للنسخ الاحتياطي في WordPress ويتم تثبيته بشكل نشط في أكثر من 3 ملايين موقع ويب.
يتيح البرنامج الإضافي لمسؤولي WordPress إجراء نسخ احتياطي لعمليات تثبيت WordPress الخاصة بهم، بما في ذلك قاعدة البيانات بأكملها التي تحتوي على بيانات اعتماد المستخدم وكلمات المرور والمعلومات الحساسة الأخرى.
يعتمد الناشرون على UpdraftPlus للالتزام بأعلى معايير الأمان في المكون الإضافي الخاص بهم نظرًا لمدى حساسية البيانات التي تم نسخها احتياطيًا باستخدام المكون الإضافي.
UpdraftPlus الضعف
تم اكتشاف الثغرة الأمنية من خلال عملية تدقيق أجراها باحث أمني في شركة Automattic’s Jetpack.
اكتشفوا اثنتين من نقاط الضعف غير المعروفة سابقًا.
الأول يتعلق بكيفية تسريب الرموز الأمنية المميزة لـ UpdraftPlus، والتي تسمى Nonces. سمح هذا للمهاجم بالحصول على النسخة الاحتياطية، بما في ذلك الرقم nonce.
وفقًا لـ WordPress، ليس من المفترض أن تكون العناصر غير خط الدفاع الرئيسي ضد المتسللين. ينص صراحةً على أنه يجب حماية الوظائف من خلال التحقق بشكل صحيح من لديه بيانات الاعتماد المناسبة (باستخدام الوظيفة المسماة current_user_can()).
“لا ينبغي أبدًا الاعتماد على Nonces في المصادقة أو التفويض أو التحكم في الوصول. قم بحماية وظائفك باستخدام current_user_can()، وافترض دائمًا أنه يمكن اختراق العناصر غير المحددة.”
كانت الثغرة الأمنية الثانية مرتبطة بالتحقق غير الصحيح من دور المستخدمين المسجلين، وهو بالضبط ما يحذره WordPress من أنه يجب على المطورين اتخاذ خطوات لتأمين المكونات الإضافية.
سمح التحقق غير الصحيح من دور المستخدم لشخص لديه بيانات من الثغرة الأمنية السابقة بتنزيل أي من النسخ الاحتياطية، والتي تحتوي بالطبع على معلومات حساسة.
يصف Jetpack ذلك:
“لسوء الحظ، فإن طريقة UpdraftPlus_Admin::maybe_download_backup_from_email، المرتبطة بـ admin_init لم تتحقق مباشرة من أدوار المستخدمين أيضًا.
على الرغم من أنها طبقت بعض عمليات التحقق بشكل غير مباشر، مثل التحقق من المتغير العام $pagenow، فقد أظهرت الأبحاث السابقة أن هذا المتغير يمكن أن يحتوي على مدخلات عشوائية من المستخدم.
يمكن للجهات الفاعلة السيئة استخدام نقطة النهاية هذه لتنزيل النسخ الاحتياطية للملفات وقاعدة البيانات بناءً على المعلومات التي تسربت من خطأ نبضات القلب المذكور أعلاه.
تحذر قاعدة بيانات الثغرات الأمنية الوطنية التابعة لحكومة الولايات المتحدة من أن UpdraftPlus لم “… يتحقق بشكل صحيح من أن المستخدم لديه الامتيازات المطلوبة للوصول إلى معرف النسخة الاحتياطية، والذي قد يسمح لأي مستخدم لديه حساب على الموقع (مثل المشترك) بتنزيل معظم النسخ الاحتياطي الأخير للموقع وقاعدة البيانات.
تحديثات WordPress القسرية لـ UpdraftPlus
كانت الثغرة الأمنية خطيرة للغاية، حيث اتخذ WordPress خطوة غير عادية تتمثل في فرض التحديثات التلقائية على جميع التثبيتات التي لم تقم بعد بتحديث UpdraftPlus إلى الإصدار الأحدث.
لكن يُنصح الناشرون بأخذ الأمر كأمر مسلم به أنه قد تم تحديث التثبيت الخاص بهم.
الإصدارات المتأثرة من UpdraftPlus
إصدارات UpdraftPlus المجانية قبل 1.22.3 وإصدارات UpdraftPlus المتميزة قبل 2.22.3 معرضة للهجوم.
من المستحسن أن يتحقق الناشرون من أنهم يستخدمون أحدث إصدار من UpdraftPlus.
اقتباسات
اقرأ إعلان Jetpack
تم إصلاح ثغرة أمنية خطيرة في UpdraftPlus 1.22.3
اقرأ إعلان UpdraftPlus
إصدار الأمان UpdraftPlus – 1.22.3 / 2.22.3 – يرجى الترقية