برنامج Linux الضار الجديد يستغل أكثر من 20 من عيوب CMS في مواقع WP

نشرت: 2023-02-06

ظهرت برامج ضارة جديدة على نظام Linux تستفيد من نقاط الضعف الأمنية في سمات WordPress والمكونات الإضافية لمواقع الويب التي تعمل على نظام Linux الأساسي. عند تنفيذ جافا سكريبت لاستهداف الكود المصدري لموقع الويب ، يمكن أن تساعد البرامج الضارة المجرمين الإلكترونيين في شن هجمات DDoS والوصول إلى البيانات الحساسة وإعادة توجيه المستخدمين إلى مواقع الويب الضارة.

ستقدم هذه المقالة نظرة عامة شاملة على برنامج Linux الضار الجديد هذا ، وتناقش كيفية عمله ، وعيوب CMS التي يمكن استغلالها ، وما الذي يمكن فعله لمنع مثل هذا الهجوم.

ما هو هجوم البرامج الضارة في Linux؟

تعتمد العديد من بيئات السحابة الحالية على نظام تشغيل Linux. لهذا السبب ، فإن الهجمات الإلكترونية الموجهة مباشرة إلى مضيفي الويب الذين يستخدمون Linux آخذة في الازدياد. من خلال التسلل بنجاح إلى بيئة Linux ، يمكن لمجرمي الإنترنت الوصول إلى مجموعة من البيانات الحساسة وتنفيذ البرامج الضارة ، ومن المحتمل أن يتسببوا في أضرار طويلة المدى للبنية التحتية لتكنولوجيا المعلومات.

تم العثور على برامج ضارة جديدة على نظام Linux
تحذير من البرامج الضارة في نظام Linux

منذ عام 2020 ، كانت فيروسات طروادة وبرامج الفدية هي الأشكال الأكثر شيوعًا لهجمات البرامج الضارة المستندة إلى نظام Linux.

أدت الثغرات الأمنية ، مثل أحدث عيوب WordPress CMS ، إلى اختراق الشبكات. تشمل الثغرات الأمنية الأخرى نقص المصادقة على الشبكة أو التكوين الخاطئ للخادم. لسوء الحظ ، كانت مثل هذه الهجمات ناجحة إلى حد ما في السنوات الأخيرة وأصبحت أكثر تعقيدًا وتنوعًا ، مما تسبب في حدوث مشكلات لفرق الأمن السيبراني.

أنواع هجمات البرامج الضارة على نظام Linux

هناك العديد من الطرق المختلفة التي يمكن لممثل التهديد أن ينفذ بها هجوم البرامج الضارة. فيما يلي بعض الأنواع الأكثر شيوعًا.

البرامج الضارة التي تستهدف صور الأجهزة الافتراضية

تتحسن البرامج الضارة باستمرار ، وتبحث عن ثغرات جديدة يتم استهدافها بهجمات مدروسة بشكل مثير للإعجاب من قبل مجرمي الإنترنت المهرة. يتضمن أحد هذه الهجمات استهداف صور الجهاز الظاهري (VM) التي تُستخدم للتعامل مع أعباء العمل.

من خلال القيام بذلك ، يمكن للجهات الفاعلة في التهديد الوصول إلى الموارد القيمة المستضافة على السحابة ، مما يسمح لهم بالتسبب في الخراب.

كريبتوجاكينج

يمكن أن يكون Cryptojacking مربحًا جدًا لمجرمي الإنترنت ، باستخدام موارد تكنولوجيا المعلومات الخاصة بالضحية لإنشاء عملة معماة. حتى الشركات العالمية مثل تسلا كانت ضحية لمثل هذا الهجوم.

تستغل البرامج الضارة Cryptojacking الأنظمة التي تفتقر إلى الأمان المتقدم ، مما يسمح للقراصنة باختطاف الأنظمة وتعدين العملات المشفرة على حساب الضحية.

هجمات Fileless Linux

باستخدام أداة Ezuri مفتوحة المصدر والمكتوبة بواسطة Golang ، يمكن للمتسللين تشفير البرامج الضارة وفك تشفيرها على شبكة مخترقة وعدم ترك أي أثر على قرص النظام. يسمح هذا للبرامج الضارة بتجاوز برامج مكافحة الفيروسات.

عادة ما تستخدم مجموعة مجرمي الإنترنت TeamTNT هذه التقنية. بالنسبة للمؤسسات الكبيرة ، يمكن أن يكون لهذا عواقب وخيمة ، حيث ينتهك لوائح الامتثال. يمكن للحماية من مثل هذه الهجمات أن تقطع شوطًا طويلاً في ضمان امتثال PCI والالتزام بالإرشادات التنظيمية الأخرى.

شرح التوافق مع PCI
يشرح التوافق مع PCI

البرمجيات الخبيثة التي ترعاها الدولة

تعمل مجموعات الدول القومية على زيادة هجماتها على بيئات Linux ، وهذا واضح بشكل خاص في الحرب الروسية الأوكرانية. الهدف الرئيسي من هجمات البرامج الضارة هذه هو تعطيل الاتصالات وتدمير البيانات.

كيف يتم استهداف مواقع WP بواسطة البرامج الضارة الجديدة على Linux

سلالة جديدة من البرامج الضارة على نظام Linux لم تكن معروفة من قبل لخبراء الأمن السيبراني كانت تستهدف مواقع WordPress ، أو بشكل أكثر دقة ، أكثر من عشرين مكونًا إضافيًا وموضوعًا.

حلل بائع الأمن الروسي Doctor Web هذا التهديد الجديد ، وسلط الضوء على نقاط الضعف المحتملة. صرح ممثل من Doctor Web في تقرير حديث ، "إذا كانت المواقع تستخدم إصدارات قديمة من هذه الوظائف الإضافية ، وتفتقر إلى الإصلاحات الحاسمة ، يتم حقن صفحات الويب المستهدفة بجافا سكريبت ضارة. نتيجة لذلك ، عندما ينقر المستخدمون على أي منطقة في صفحة تعرضت للهجوم ، تتم إعادة توجيههم إلى مواقع أخرى ".

تستهدف الهجمات مواقع ويب محددة بها مكونات إضافية وسمات ضعيفة لنشر البرامج الضارة. يساعد هذا في إنشاء شبكة من مواقع الويب (botnets) يمكن لمجرمي الإنترنت الوصول إليها عن بُعد ، مما يسمح لهم بإجراء أنشطة مختلفة. يمكن أيضًا إدخال JavaScript في نظام يتم استرداده بواسطة خادم بعيد ، وإعادة توجيه المستخدمين الذين يصلون إلى موقع ويب تم اختراقه وإرسالهم إلى موقع ويب ضار.

اشتمل إصدار مستتر آخر من الهجوم على مجال قيادة وتحكم (C2) غير معروف سابقًا ، بالإضافة إلى استهداف أكثر من 20 عيبًا في WordPress CMS.

في كلتا الحالتين ، يستخدم المهاجم طريقة القوة الغاشمة للتسلل إلى حسابات مشرف WordPress. وأضاف دكتور ويب ، "إذا تم تنفيذ مثل هذا الخيار في الإصدارات الأحدث من الباب الخلفي ، فسيكون مجرمو الإنترنت قادرين على مهاجمة بعض مواقع الويب التي تستخدم الإصدارات الحالية من المكونات الإضافية مع ثغرات مصححة."

أكثر من 20 عيبًا في نظام إدارة المحتوى تم استغلالها

تتضمن قائمة السمات والإضافات الضعيفة التي استغلتها برامج Linux الضارة:

  • مصمم مدونة (<1.8.12)
  • بريزي
  • قريبًا ووضع الصيانة (<= 5.1.0)
  • ديلوكس سيو
  • Easy WP SMTP (1.3.9)
  • FV Flowplayer مشغل فيديو
  • هجين
  • الدردشة الحية مع Messenger Customer Chat بواسطة Zotabox (<1.4.9)
  • الرموز القصيرة ND (<= 5.8)
  • جريدة (CVE-2016-10972، 6.4 - 6.7.1)
  • أونيتون
  • صانع الاستطلاع والاستطلاع والنموذج والاختبار بواسطة OpinionStage
  • نشر القوالب المخصصة الخفيفة (<1.7)
  • مراجعات غنية
  • حقول بسيطة
  • Smart Google Code Inserter (تم إيقافه اعتبارًا من 28 يناير 2022 ، <3.5)
  • متتبع المقاييس الاجتماعية
  • ثيم كور
  • إجمالي التبرعات (<= 2.0.5)
  • كتب مريم الدخيل لاكاديمية الثراء
  • الأسئلة الشائعة حول WordPress Ultimate (CVE-2019-17232 و CVE-2019-17233، 1.24.2)
  • WPeMatico RSS Feed Fetcher و
  • الامتثال WP GDPR (1.4.2)
  • WP Live Chat (8.0.27)
  • WP Live Chat Support
  • تكامل WP-Matomo (WP-Piwik)
  • WP Quick Booking Manager
  • محرر نمط CSS المرئي باللون الأصفر (<7.2.0)
  • الوظائف ذات الصلة يوزو (5.12.89)

هجمات البرامج الضارة السابقة لـ WordPress

كشفت منظمة Fortinet FortiGuard Labs لذكاء التهديدات والأبحاث عن روبوتات أخرى (مجموعة من الأجهزة المتصلة بالإنترنت المخترقة) تُعرف باسم GoTrim. تم إنشاء هذه الشبكة باستخدام تقنيات القوة الغاشمة على مواقع الويب المستضافة ذاتيًا والتي تستخدم WordPress CMS ، مما يمنحهم التحكم الكامل في النظام.

حددت Sucuri ، وهي منصة لأمن وحماية مواقع الويب مملوكة لشركة GoDaddy ، أكثر من 15000 موقع ويب WordPress تم اختراقه في نهاية عام 2022. كان هذا جزءًا من حملة البرامج الضارة الشاملة التي تهدف إلى إعادة توجيه زوار الموقع إلى بوابات الأسئلة والأجوبة التي يتحكم فيها مجرمو الإنترنت. اعتبارًا من يناير 2023 ، كان أكثر من 9000 من هذه المواقع لا يزال مصابًا.

في صيف عام 2022 ، أصدرت Sucuri أيضًا تقريرًا يوضح بالتفصيل نظام توجيه حركة المرور (TDS) المسمى "Parrot" والذي استهدف مواقع WordPress باستخدام برامج ضارة تعتمد على JavaScript.

كيفية منع هجمات لينكس البرمجيات الخبيثة

لمنع مثل هذا الهجوم ، يُنصح جميع مستخدمي WordPress بتحديث جميع مكونات مواقع الويب الخاصة بهم ، بما في ذلك أي مكونات إضافية وموضوعات تابعة لجهات خارجية. كأفضل ممارسة ، يجب على المستخدمين أيضًا استخدام كلمات مرور قوية وتفاصيل تسجيل دخول فريدة لكل مستخدم لزيادة الأمان.

يجب على مالكي مواقع الويب أيضًا أخذ نسخ احتياطية منتظمة من بياناتهم ، مما يقلل من فرصة الوقوع ضحية لهجوم برامج الفدية ، بينما يُنصح أيضًا بتثبيت مكونات إضافية للأمان يتم تحديثها بانتظام.

تغليف

يستهدف هذا الهجوم الذي تم تحديده حديثًا أكثر من 20 من مكونات WordPress الإضافية والقوالب المستضافة على بيئة Linux ، مما يسمح لمجرمي الإنترنت بتنفيذ البرامج الضارة. تتضمن العديد من هذه الهجمات إعادة توجيه زوار موقع الويب إلى مواقع ويب مزيفة ، بينما يساعد البعض الآخر المتسللين على تطوير شبكات الروبوت التي يمكن استخدامها في مجموعة من الجرائم.

يمكن لمستخدمي WordPress منع مثل هذا الهجوم عن طريق تحديث جميع المكونات الإضافية والسمات واستخدام بيانات اعتماد تسجيل دخول قوية. إن غالبية مواقع الويب التي وقعت ضحية لهجمات البرامج الضارة لا تتم صيانتها بشكل جيد ولديها حد أدنى من الأمان المثبت وتستخدم كلمات مرور ضعيفة.