জিরো-দিনের দুর্বলতাগুলি সর্বাধিক সাইবার অপরাধীদের জন্য আশীর্বাদ এবং এই সময় হ্যাকাররা এক বা দুটি নয়, কিন্তু তাদের তিনটি কাজে ব্যবহার করে। সিকিউরিটি ফার্ম ওয়ার্ডফেন্স রিপোর্ট করেছে যে তিনটি শোষিত দুর্বলতা ওয়ার্ডপ্রেস প্লাগইনকে প্রভাবিত করেছে কিন্তু আক্রমণ ভেক্টর এখন নিখরচায় এবং এই প্লাগিনের লেখকদের দ্বারা আপডেটগুলি প্রকাশ করা হয়েছে।
এটা লক্ষ করা আবশ্যক যে আক্রমণ ভেক্টর একটি পিএইচপি বস্তু ইনজেকশন দুর্বলতা ছিল, যা একইভাবে তিনটি ওয়ার্ডপ্রেস প্লাগইন প্রভাবিত ওয়ার্ডফেন্স তার নিয়মিত "সাইট পরিস্কার সেবা" সময় শূন্য দিন চিহ্নিত যখন হ্যাক ওয়েবসাইটের একটি শর্ট এবং শোষণের ইঙ্গিত আবিষ্কার করা হয়েছিল যখন হ্যাক করা সাইটগুলি নিরীক্ষণ করা হয়েছিল, এটি এমন একটি যা ব্যবহার করে শিকার ওয়েবসাইটগুলিতে একটি দূষিত ফাইল তৈরি করে যখন লগগুলি কেবল /wp-admin/admin-ajax.php- এর জন্য POST অনুরোধ দেখায়।
কোম্পানী তার হুমকি তথ্য আক্রমন বন্দী। ওয়ার্টফেন্সের প্রধান ডেভেলপার ম্যাট ব্যারি, শোষণ পুনর্গঠনে পরিচালিত হয়েছিলেন এবং অবিলম্বে নতুন ওয়্যাফের নিয়মনীতিগুলিকে দমনের জন্য দমন করেছেন। নতুন নিয়মগুলি প্রিমিয়াম গ্রাহকদের কাছে পাঠানো হয়েছে যাতে নিখরচায় তাদের সুরক্ষা নিশ্চিত করা যায় এবং প্লাগিন লেখকদেরও তা জানানো হয় যাতে দ্রুত সংশোধন করা যায়।
প্রভাবিত প্লাগইন, যা এখন সংশোধন করা হয়েছে অন্তর্ভুক্ত:
1. WPMU দেব এর অ্যাপয়েন্টমেন্ট (v.2.2.2 মধ্যে নির্দিষ্ট করা হয়েছিল)
2. ড্যান কুল্টারের ফ্লিকার গ্যালারি (যা 1.5.3 সংস্করণে সংশোধন করা হয়েছিল) এবং
3. CMSHelpLive এর রেজিস্ট্রেশনম্যাগিক-কাস্টম রেজিস্ট্রেশন ফরমগুলি (যা v। 3.7.9.3 তে সংশোধন করা হয়েছিল)
তার উপদেষ্টা ইন, ওয়ার্ডফেন্স ব্যাখ্যা করেন যে ওয়ার্ডপ্রেস ওয়েবসাইটগুলিতে ব্যাকডোরস ইনস্টল করার জন্য দুর্বলতাগুলি ব্যবহার করা হয়েছিল এবং ২1,000 ওয়েবসাইটগুলি থেকে ব্যবহারকারীদের প্লাগইনগুলি সম্পর্কে সতর্ক করে দিয়েছিল যতক্ষন না এইগুলি নতুন প্রকাশিত প্লাগইন সংস্করণের সাথে আপডেট করা হয়। যদিও ওয়েবসাইটের সংখ্যা আশ্চর্যজনকভাবে কম, তবে এই তিনটি প্লাগইন অন্য যেহেতু জনপ্রিয় নয় তবে ওয়ার্ডফেস ব্যবহারকারীদের সাবধানতা অবলম্বন করার পরামর্শ দিয়েছে। CVSSv3 তীব্রতা স্কেলে, এই শূন্য দিনের দুর্বলতা 10 এর 9.8 এর একটি স্কোর আছে, যা অবশ্যই অত্যন্ত বেশী এবং এর অর্থ এই গুরুতর প্রকৃতির।
ওয়ার্ডফেন্স গবেষক ব্র্যাড হাস বলেন যে এই দুর্বলতা হ্যাকাররা একটি ওয়েবসাইটকে "একটি দূরবর্তী ফাইল আনতে" সক্ষম করতে সক্ষম হয় যা একটি পিএইচপি ব্যাকগ্রাউন্ড ছিল। আক্রমণকারীরা তখন ফাইলটি পছন্দসই স্থানে সংরক্ষণ করবে। যাইহোক, হাস ব্যাখ্যা করেন যে দুর্বলতাটি খুব সহজেই শোষিত হয় কারণ এটি একটি হ্যাকারের জন্য একটি HTTP পোস্ট অনুরোধের মধ্যে কোডটি শোষণ করার জন্য প্রয়োজন যা লক্ষ্যযুক্ত ওয়েবসাইটে পাঠানো হয় এবং এই সাইটে কোনও প্রমাণীকরণ প্রক্রিয়ার সম্মুখীন হওয়ার প্রয়োজন নেই শোষণ triggering আরও হতাশাজনক যে অন্যান্য হ্যাকারগুলি প্লাগইনগুলির চ্যানেলগুলিতে বিপরীত প্রকৌশল সম্পাদন করতে পারে যা কোডটি শোষণ করে।
এই শোষণগুলি মাতামাতি ছিল: একটি দূষিত ফাইলটি কোথাও খুঁজে পাওয়া লাগে না এবং এমনকি অ্যাক্সেস লগগুলি সহ সাইটগুলি কেবল /wp-admin/admin-ajax.php- এ ফাইল তৈরির সময় একটি পোস্ট অনুরোধ দেখিয়েছে। কিন্তু আমরা আমাদের হুমকির ডেটাতে হামলাগুলি দখল করে নিয়েছিলাম, এবং আমাদের প্রধান বিকাশকারী ম্যাট ব্যারি এই শোষণগুলির পুনর্গঠন করতে সক্ষম ছিলেন। আমরা এই দোষীদের আটকানোর জন্য দ্রুত নতুন WAF নিয়মগুলি ধাক্কা দিয়েছিলাম। প্রিমিয়াম গ্রাহকগণ নতুন নিয়মাবলী পেয়েছেন এবং তাৎক্ষণিকভাবে সুরক্ষিত ছিল। আমরা প্লাগইন লেখককে বিজ্ঞাপিত করেছি; সব তিনটি দুর্বলতা ঠিক করার জন্য আপডেটগুলি প্রকাশ করেছে।
অ্যাডমিন- ajax.php ফাইলের POST অনুরোধে লক্ষ্য করার জন্য আক্রমণকারীকে অন্য দুটিের প্রয়োজন হলে Flickr Gallery প্লাগইনটি চালানোর সাইটগুলি তাদের মূল URL টি লক্ষ্য করে শোষিত হতে পারে। যখন হ্যাকার সফলভাবে গুপ্তচরবৃত্তি ডাউনলোডের লক্ষ্যবস্তু ওয়েবসাইটগুলি তোলার চেষ্টা করে তখন এটি কেবলমাত্র কয়েক মিনিটের মধ্যেই সাইটের হাইজ্যাক করতে পারে।
এটা লক্ষ করা আবশ্যক যে আক্রমণ ভেক্টর একটি পিএইচপি বস্তু ইনজেকশন দুর্বলতা ছিল, যা একইভাবে তিনটি ওয়ার্ডপ্রেস প্লাগইন প্রভাবিত ওয়ার্ডফেন্স তার নিয়মিত "সাইট পরিস্কার সেবা" সময় শূন্য দিন চিহ্নিত যখন হ্যাক ওয়েবসাইটের একটি শর্ট এবং শোষণের ইঙ্গিত আবিষ্কার করা হয়েছিল যখন হ্যাক করা সাইটগুলি নিরীক্ষণ করা হয়েছিল, এটি এমন একটি যা ব্যবহার করে শিকার ওয়েবসাইটগুলিতে একটি দূষিত ফাইল তৈরি করে যখন লগগুলি কেবল /wp-admin/admin-ajax.php- এর জন্য POST অনুরোধ দেখায়।
কোম্পানী তার হুমকি তথ্য আক্রমন বন্দী। ওয়ার্টফেন্সের প্রধান ডেভেলপার ম্যাট ব্যারি, শোষণ পুনর্গঠনে পরিচালিত হয়েছিলেন এবং অবিলম্বে নতুন ওয়্যাফের নিয়মনীতিগুলিকে দমনের জন্য দমন করেছেন। নতুন নিয়মগুলি প্রিমিয়াম গ্রাহকদের কাছে পাঠানো হয়েছে যাতে নিখরচায় তাদের সুরক্ষা নিশ্চিত করা যায় এবং প্লাগিন লেখকদেরও তা জানানো হয় যাতে দ্রুত সংশোধন করা যায়।
প্রভাবিত প্লাগইন, যা এখন সংশোধন করা হয়েছে অন্তর্ভুক্ত:
1. WPMU দেব এর অ্যাপয়েন্টমেন্ট (v.2.2.2 মধ্যে নির্দিষ্ট করা হয়েছিল)
2. ড্যান কুল্টারের ফ্লিকার গ্যালারি (যা 1.5.3 সংস্করণে সংশোধন করা হয়েছিল) এবং
3. CMSHelpLive এর রেজিস্ট্রেশনম্যাগিক-কাস্টম রেজিস্ট্রেশন ফরমগুলি (যা v। 3.7.9.3 তে সংশোধন করা হয়েছিল)
তার উপদেষ্টা ইন, ওয়ার্ডফেন্স ব্যাখ্যা করেন যে ওয়ার্ডপ্রেস ওয়েবসাইটগুলিতে ব্যাকডোরস ইনস্টল করার জন্য দুর্বলতাগুলি ব্যবহার করা হয়েছিল এবং ২1,000 ওয়েবসাইটগুলি থেকে ব্যবহারকারীদের প্লাগইনগুলি সম্পর্কে সতর্ক করে দিয়েছিল যতক্ষন না এইগুলি নতুন প্রকাশিত প্লাগইন সংস্করণের সাথে আপডেট করা হয়। যদিও ওয়েবসাইটের সংখ্যা আশ্চর্যজনকভাবে কম, তবে এই তিনটি প্লাগইন অন্য যেহেতু জনপ্রিয় নয় তবে ওয়ার্ডফেস ব্যবহারকারীদের সাবধানতা অবলম্বন করার পরামর্শ দিয়েছে। CVSSv3 তীব্রতা স্কেলে, এই শূন্য দিনের দুর্বলতা 10 এর 9.8 এর একটি স্কোর আছে, যা অবশ্যই অত্যন্ত বেশী এবং এর অর্থ এই গুরুতর প্রকৃতির।
ওয়ার্ডফেন্স গবেষক ব্র্যাড হাস বলেন যে এই দুর্বলতা হ্যাকাররা একটি ওয়েবসাইটকে "একটি দূরবর্তী ফাইল আনতে" সক্ষম করতে সক্ষম হয় যা একটি পিএইচপি ব্যাকগ্রাউন্ড ছিল। আক্রমণকারীরা তখন ফাইলটি পছন্দসই স্থানে সংরক্ষণ করবে। যাইহোক, হাস ব্যাখ্যা করেন যে দুর্বলতাটি খুব সহজেই শোষিত হয় কারণ এটি একটি হ্যাকারের জন্য একটি HTTP পোস্ট অনুরোধের মধ্যে কোডটি শোষণ করার জন্য প্রয়োজন যা লক্ষ্যযুক্ত ওয়েবসাইটে পাঠানো হয় এবং এই সাইটে কোনও প্রমাণীকরণ প্রক্রিয়ার সম্মুখীন হওয়ার প্রয়োজন নেই শোষণ triggering আরও হতাশাজনক যে অন্যান্য হ্যাকারগুলি প্লাগইনগুলির চ্যানেলগুলিতে বিপরীত প্রকৌশল সম্পাদন করতে পারে যা কোডটি শোষণ করে।
এই শোষণগুলি মাতামাতি ছিল: একটি দূষিত ফাইলটি কোথাও খুঁজে পাওয়া লাগে না এবং এমনকি অ্যাক্সেস লগগুলি সহ সাইটগুলি কেবল /wp-admin/admin-ajax.php- এ ফাইল তৈরির সময় একটি পোস্ট অনুরোধ দেখিয়েছে। কিন্তু আমরা আমাদের হুমকির ডেটাতে হামলাগুলি দখল করে নিয়েছিলাম, এবং আমাদের প্রধান বিকাশকারী ম্যাট ব্যারি এই শোষণগুলির পুনর্গঠন করতে সক্ষম ছিলেন। আমরা এই দোষীদের আটকানোর জন্য দ্রুত নতুন WAF নিয়মগুলি ধাক্কা দিয়েছিলাম। প্রিমিয়াম গ্রাহকগণ নতুন নিয়মাবলী পেয়েছেন এবং তাৎক্ষণিকভাবে সুরক্ষিত ছিল। আমরা প্লাগইন লেখককে বিজ্ঞাপিত করেছি; সব তিনটি দুর্বলতা ঠিক করার জন্য আপডেটগুলি প্রকাশ করেছে।
অ্যাডমিন- ajax.php ফাইলের POST অনুরোধে লক্ষ্য করার জন্য আক্রমণকারীকে অন্য দুটিের প্রয়োজন হলে Flickr Gallery প্লাগইনটি চালানোর সাইটগুলি তাদের মূল URL টি লক্ষ্য করে শোষিত হতে পারে। যখন হ্যাকার সফলভাবে গুপ্তচরবৃত্তি ডাউনলোডের লক্ষ্যবস্তু ওয়েবসাইটগুলি তোলার চেষ্টা করে তখন এটি কেবলমাত্র কয়েক মিনিটের মধ্যেই সাইটের হাইজ্যাক করতে পারে।
Post a Comment