طبق اخباری که به تازگی منتشر شد، هزاران سایت وردپرسی مورد حمله درب پشتی پلاگین مخرب قرار گرفتند و محققان در مورد آن توضیحاتی دادند.
به گزارش تکراتو و به نقل از techradar، یک قطعه کد جاوااسکریپت چهار درب پشتی جداگانه را در حدود ۱۰۰۰ وبسایت وردپرسی نصب کرد، طبق گزارش جدیدی که محققان امنیت سایبری از c/side منتشر کردند. این محققان در مورد چهار درب پشتی توضیح داده و نحوه محافظت از کاربران سازندگان وبسایت را توضیح دادهاند.
این تحلیل توضیح نداد که کد مخرب چگونه وارد این وبسایتها شده است، اما میتوان فرض کرد که احتمالاً از پسوردهای ضعیف یا به خطر افتاده، یک افزونه آسیبپذیر یا مشابه آن استفاده شده است. در هر صورت، کد از طریق دامنه cdn.csyndication[dot]com بارگذاری میشود که در حداقل ۹۰۸ وبسایت ذکر شده است.
این کد چهار درب پشتی مختلف را نصب میکند. یکی از آنها یک پلاگین تقلبی به نام Ultra SEO Processor نصب خواهد کرد که میتواند دستورات را به طور ریموت اجرا کند، یکی جاوااسکریپت مخرب را در فایل wp-config.php تزریق میکند، یکی کلید SSH اضافه میکند تا دسترسی مداوم به تهدیدگران بدهد و یکی دستورات را از راه دور اجرا کرده و یک شل معکوس باز میکند.
برای کاهش خطرات، c/side به صاحبان وبسایت توصیه میکند که کلیدهای SSH غیرمجاز را حذف کنند، اعتبارنامههای مدیریت وردپرس را تغییر دهند و لاگهای سیستم را برای هرگونه فعالیت مشکوک بررسی کنند.
در همین حال، PatchStack متوجه شد که پلاگین محبوب Chaty Pro با حدود ۱۸,۰۰۰ نصب، امکان بارگذاری فایلهای مخرب را در وبسایتهایی که آن را نصب کردهاند فراهم کرده است. Chaty Pro به صاحبان سایتها اجازه میدهد خدمات چت را با ابزارهای پیامرسان اجتماعی یکپارچه کنند.
این مشکل به عنوان CVE-2025-26776 ثبت شده و امتیاز شدت آن ۱۰ از ۱۰ (بحرانی) است. از آنجا که تهدیدگران میتوانند از این آسیبپذیری برای بارگذاری فایلهای مخرب استفاده کنند، میتواند منجر به تصاحب کامل سایت شود و به همین دلیل شدت بحرانی دارد.
Infosecurity Magazine گزارش داده است که این قابلیت شامل یک لیست سفید از پسوندهای مجاز فایلها بوده است که متأسفانه هیچگاه پیادهسازی نشده است.
PatchStack توضیح داده که نام فایل بارگذاری شده شامل زمان بارگذاری و یک عدد تصادفی بین ۱۰۰ تا ۱۰۰۰ است، بنابراین ممکن است یک فایل PHP مخرب بارگذاری شده و با انجام حملات بروتفورس روی نامهای فایل احتمالی در زمان بارگذاری به آن دسترسی پیدا کرد.
نگهدارندگان پلاگین Chaty Pro در تاریخ ۱۱ فوریه اصلاحیهای منتشر کردند. از تمامی کاربران خواسته شده است که افزونه را به نسخه ۳.۳.۴ بروزرسانی کنند.