أفاد باحثون إنّ العشرات من إضافات “ووردبريس” WordPress النظاميّة الّتي تمّ تنزيلها من مصادرها الأصليّة، تمّ اكتشاف احتوائِها على ثغرات أمنيّة يُسمح من خلالها بهجوم سلسلة التّوريد. وتمّ اكتشاف هذه الثغرات في عدد قليل جدًّا من المواقع الّتي تعمل بنظام إدارة المحتوى مفتوح المصدر ووردبريس.

“هجوم سلسلة التّوريد” (Supply chain attacks)، هو شكل من أشكال الهجوم الخبيث والمتزايد من القرصنة، وهي تقنيّة يقوم فيها المهاجم بإيصال تعليمات برمجيّة ضارّة، أو مكوّن ضارّ، إلى جزء موثوق فيه من البرامج أو الأجهزة أو الإضافات، حيث يتمكّن المهاجمون أو المخرّبون من سرقة النظام بالكامل.

مَنحت هذه الثغرات الأمنية المهاجمون سيطرة إداريّة كاملة على مواقع الإنترنت الّتي استخدمت واحد على الأقلّ من 93 من مكوّنات ووردبريس من إضافات والقوالب الّتي تمّ تنزيلها من موقع AccessPress Themes، وتمّ اكتشاف هذه الثغرات من قبل باحثين أمنيّين من JetPack الشركة المصنّعة لبرامج الأمان المملوكة لشركة Automatic، ومزوّد خدمة استضافة WordPress.com مساهم رئيسيّ في تطوير ووردبريس. بصورة عامة وجد Jetpack أنّ 40 قالب AccessPress و53 ملحقًا قد تضرّر.

وفي منشور نُشر يوم الخميس، قال الباحث في Jetpack Harald Eilertsen إنّ الطوابع الزمنيّة والأدلّة الأخرى تشير إلى أنّ الثغرات الأمنيّة قد تمّ تقديمها بشكل مُتعمّد في إجراء منسّق بعد إصدار السّمات والمكوّنات الإضافيّة. وكان البرنامج المتأثّر متاحًا بواسطة التنزيل مباشرة من موقع AccessPress Themes، نفس السّمات والإضافات الّتي تتطابق على WordPress.org، فيما تمّ تأكيد أنّ موقع المطوّر الرسميّ لمشروع ووردبريس، لم يتمّ اكتشاف أيّ ثغرة أمنية فيه حتّى الآن.

كتب Ben Martin، الباحث في شركة Sucuri لأمن الإنترنت، في تحليل مفصّل للثغرات الأمنيّة وقال: “المستخدمون الّذين استخدموا البرامج الّتي تمّ الحصول عليها مباشرةً من موقع AccessPress الإلكترونيّ قاموا دون علمهم بتزويد المهاجمين بوصول خلفيّ، ممّا أدّى إلى عدد غير معروف من مواقع الويب المخترقة”.

وقال إنّ البرنامج الملوّث احتوى على نصّ برمجيّ اسمه initial.php تمّت إضافته إلى دليل السمات الرئيسيّ ثمّ تمّ تضمينه في ملفّ Functions.php الرئيسيّ. ويظهر التحليل أنّ Initial.php كان بمثابة القطّارة التي تستخدم ترميز base64 لتشفير الكود الّذي قام بتنزيل من wp-theme-connect [.] com واستخدمها لتثبيت الباب الخلفيّ كـ wp-include / vars.php.  بمجرّد تثبيته، تقوم القطّارة بالتدمير الذاتيّ في محاولة لإبقاء الهجوم متخفّيًا.

قال موقع Jetpack إنّ الأدلّة تشير إلى أنّ هجوم سلسلة التوريد على سمات AccessPress قد تمّ تنفيذه في سبتمبر / أيلول من العام الماضي. وأضاف مارتن في نفس السياق إنّ الأدلّة تشير إلى أنّ الباب الخلفيّ نفسه أقدم بكثير من ذلك. وبعض المواقع المصابة تحوي بريد عشوائيّ يعود تاريخها إلى ما يَقرب من ثلاث سنوات.

أشار منشور Jetpack إلى أسماء وإصدارات كاملة من برنامج AccessPress المصاب. ويجب على أيّ شخص يقوم بتشغيل موقع ووردبريس مع إضافات من هذه الشركة أن يفحص أنظمته بعناية ويقوم بالبحث عن أيّ ثغرات أمنيّة. وقد يرغب مالكو المواقع أيضًا في التفكير في تثبيت جدار حماية لموقع الإنترنت، والّذي كان من شأنه أن يمنع هذه الثغرات الأمنيّة من العمل.

الهجوم هو أحدث مثال على هجوم سلسلة التوريد، والّذي يعرض مصدر برنامج شرعيّ للخطر عوضا عن محاولة إصابة المستخدمين الفرديّين. تسمح هذه التقنيّة للمهاجمين بإصابة أعداد كبيرة من المستخدمين، ولها ميزة التخفّي، لأنّ البرامج الضارّة المُختَرقة تنشأ من مزوّد موثوق به.