تم إصلاح ثغرتين في إضافة Facebook For WordPress، والمعروفة سابقًا باسم Official Facebook Pixel، والتي كان بإمكان المُخترقين استغلالها لإجراء سيطرة كاملة على الموقع.
الإضافة تم تحميلها لنحو نصف مليون موقع، وهي أداة قياس يستخدمها ممولو الإعلانات عبر Facebook لقياس أعداد الزوار للموقع، ولمعرفة اختياراتهم أثناء تفاعلهم مع مختلف زواياه.
تفاصيل الثغرة الأولى
إضافة WordFence المتخصصة في أمن نظام WordPress، كشفت عن تواصل المختصين الأمنيين مع الفرق المختصة في أمن المعلومات لدى شركة Facebook في أول يومٍ تم اكتشاف الثغرة فيه، وقاموا بتقديم شرحٍ مفصلٍ لهم في حينه.
لخطورة الثغرتين، فقد تم تقييم خطورتها على مقياس CVSS بدرجة 9/10، وتم اكتشافها في الـ 22 من ديسمبر الماضي.
لكن الفرق الأمنية لدى Facebook تأخرت في ردها، وطلبت من WordFence في الـ25 من ديسمبر الحصول على المزيد من المعلومات، والتي تم إيصالها لهم في اليوم التالي.
استمرت عملية إصدار Patch لإصلاح هذه الثغرة، حتى يوم الـ6 من يناير 2021.
فبحسب تقرير صدر حديثًا عن WordFence، فإن الثغرة الأولى سمحت للمُخترقين بإنشاء ملف PHP داخل أحد المواقع المُعرضة للخطر، ومحتويات هذا الملف يُمكن تحويلها إلى أي شيء آخر، ما يسمح بدوره للمُخترق بالحصول على "تحكّم في تنفيذ الأكواد البرمجية عن بُعد".
كما أضاف التقرير أن أي إضافة أُخرى على ذات الموقع تحوي ثغرة يُمكن من خلالها حقنُ أي مادة خبيثة، فإنها تُقدّم – بفضل الثغرة الأولى – للمُخترق إمكانية التحكم في تنفيذ الأكواد البرمجية عن بُعد أيضًا.
تفاصيل الثغرة الثانية
فبعدما نجح المبرمجون في Facebook في سد الثغرة الأولى، اكتشف المختصون الأمنيون ثغرة جديدة تتمثل في "محاولة تزوير" تستغل البرمجة عبر المواقع "XSS" للقيام بإنشاء ثغرة في إضافة Facebook For WordPress التي حصلت مؤخرًا على Patch سد جميع الثغرات التي يُمكن الاختراق عبرها.
هذه الثغرة، تم اكتشافها في الـ27 من يناير 2021، وفي ذات اليوم تواصل المختصون في إضافة WordFence الأمنية مع نظرائهم في Facebook، لكن كعادتهم في أول ثغرة، فقد تأخروا في الرد حتى الأول من فبراير، وطالبوا بالحصول على مزيد من التفاصيل.
فريق WordFence قدّم هذه التفاصيل في ذات اليوم، واستمرت عملية إصدار Patch لمعالجة الثغرة الجديدة منذ ذلك الحين حتى الثاني عشر من فبراير.
عملية إصلاح الأخطاء والثغرات استمرت بعد ذلك، حتى انتهت بشكلٍ كامل في السابع عشر من ذات الشهر.
هل موقعك في خطر؟
مع إطلاق Patch لإضافة Facebook For WordPress بإصدار 3.0.4، تم سد جميع الثغرات التي يُمكن استغلالها من خلال المُخترقين. رغم ذلك، فيُنصح بالتحديث إلى أحدث إصدار من الإضافة وهو إصدار 3.0.5.
ليست أول الثغرات في إضافات WordPress
منذ مطلع العام الجاري، طفت على سطح المُشكلات التقنية في إضافات WordPress، العديد من محاولات الاختراق.
فقد تحدث المختصون الأمنيّون عن اختراقات مُباشرة حدثت داخل إضافة Plus Addons التابعة لـ Elementor، تسمح للمُخترقين بالدخول للموقع الإلكتروني، وإضافة/إنشاء حسابات تمتلك كل الصلاحيات، ومن ثم استخدام هذه الصلاحيات للعبث بمحتويات الموقع.
وخلال الشهر الماضي، كشف مختصون أمنيون في إضافة WordFence، أن مخترقين بوساطة "البرمجة عبر الحقن (XSS)" قاموا بعديد من الاختراقات مستغلين وجود ثغرات لدى مُستخدمي نظام Elementor، خاصة أولئك الذين لم يحدّثوا أنظمتهم لإصدار 3.1.4 الأحدث.
ومع ذلك، فلا زالت تتمحور الحلول حول التركيز على أهمية تفعيل التحديث التلقائي للإضافات على اختلاف استخداماتها، للحصول على أحدث الإصدارات الخالية من الثغرات التي يُمكن استغلالها من قِبَل المُخترقين.
اترك تعليقك