آسیبپذیری در پلاگین Ninja Forms وردپرس که سایت را در معرض خطر هک قرار میدهد
این پلاگین محبوب با بیش از یک میلیون نصب فعال در سایتهای وردپرسی، حاوی ۴ آسیبپذیری بحرانی است که سایت را در معرض خطر حملات جدی قرار میدهد، نمونهای از این حملات، در دست گرفتن کنترل کامل سایت توسط هکر و email hijacking میباشد.
Ninja Forms یک پلاگین محبوب برای وردپرس است که به طراحان سایت اجازه میدهد بدون داشتن مهارت برنامهنویسی فرمهایی با قابلیت drag-and-drop ایجاد کنند.
این ۴ آسیبپذیری برای کاربری با سطح دسترسی پایین (حتی یک کاربر ساده که فقط در سایت ثبتنام کرده باشد) امکان انجام فعالیتهای مخربی را فراهم میآورد. این فعالیتهای مخرب میتوانند شنود ایمیلهای سایت، در دست گرفتن حسابهای کاربری ادمین، نصب پلاگینهای دلخواه در سایت مورد هدف و هدایت مالکان سایت به مقصدهای مخرب باشند.
سه مورد از آسیبپذیریها برای بهرهبرداری موفقیتآمیز، به مهندسی اجتماعی نیاز دارند.
• آسیبپذیری اول: ربودن ایمیلهای معتبر و در دست گرفتن حسابهای کاربری با پلاگین SendWP
به گفتهی محققان، این نقص به مهاجمان دارای سطح دسترسی اعضا یا بالاتر اجازه میدهد تا از SendWP برای دریافت ترافیک ایمیل، شامل پیوندهای بازیابی رمز عبور برای حسابهای کاربری ادمین سوءاستفاده کنند. SendWP یک سرویس تحویلِ ایمیل و ورود به سیستم است که به منظور سادهسازی مدیریت ایمیلها در وردپرس طراحی شده است.
مهاجمان با سطح دسترسی اعضا یا بالاتر به سایت وردپرسیِ آسیبپذیر میتوانند با برقراری یک ارتباط SendWP با حساب کاربری SendWP خویش، تمام ایمیلهای ارسال شده به سایت وردپرسی را به حساب کاربری SendWP خود که با آن وارد شدهاند هدایت کنند. به گفتهی Wordfence، بهرهبرداری موفق از این آسیبپذیری میتواند منجر به اجرای کد از راه دور و در دست گرفتن کنترل کامل سایت با استفاده از حساب کاربری ادمین شود. مهاجم میتواند از حساب کاربری ادمین برای ویرایش قالب/فایلهای پلاگین یا بارگذاری یک قالب/ پلاگین مخرب استفاده کند. گفته میشود این آسیبپذیری دارای شدت ۹.۹ از ۱۰ میباشد (هنوز شناسهای برای نقصها در نظر گرفته نشده است).
محققان هشدار دادند: "هنگام برقراری ارتباط SendWP توسط مهاجمان، آنها میتوانند تمام دادههای ایمیل شده را که از طریق فرم ثبت اطلاعات قابل شناسایی افراد (PII) _که به منظور گزارشگیری در سایت در نظر گرفته شدهاند_ به دست میآیند، مانیتور کنند." به علاوه، اگر مهاجم بتواند نام کاربری یک حساب ادمین را به دست آورد، آنگاه قادر خواهد بود رمزعبور را برای آن حساب کاربری بازنشانی کند." به گفتهی Wordfence، دستیابی به این مسئله چندان دشوار نیست.
محققان تشریح کردند: "به منظور ارائهی این عملکرد، پلاگین، کُنش AJAX مربوط به wp_ajax_ninja_forms_sendwp_remote_install را ثبت میکند." این کُنش AJAX به تابع wp_ajax_ninja_forms_sendwp_remote_install_handler متصل است که بررسی میکند پلاگین SendWP نصب و فعال شده باشد. اگر پلاگین در حال حاضر نصب نشده باشد، نصب و فعالسازی پلاگین را انجام میدهد.
به محض اینکه پلاگین با موفقیت نصب شود، تابع، url ثبتنام را به همراه client_name، client_secret، register_url و client_url باز میگرداند. این برای نشان دادن صفحهی ثبتنام به کاربران و اتصال آسان نمونه سایت وردپرسی با SendWP میباشد.
تجزیه و تحلیلها نشان میدهد متأسفانه این کُنش AJAX قابلیت بررسی پلاگین SendWP و هیچگونه محافظتی بر nonce ندارد، بنابراین، نصب و فعالسازی آن این امکان را میدهد که کاربران سطح پایین، مانند اعضای عادی سایت بتوانند این پلاگین را نصب و فعال کنند و کلید client_secret را که برای ایجاد ارتباط SendWP مورد نیاز است بازیابی نمایند.
البته محققان خاطرنشان کردند که خوشبختانه پلاگین SendWP یک پلاگین غیررایگان است _ماهیانه ۹ دلار برای هر سایت_ و این را میتوان یک راه کاهش خطر بالقوه برای نقص مذکور در نظر گرفت.
• آسیبپذیری دوم: افشای کلید اتصال برای پروتکل احراز هویت OAuth
برای این آسیبپذیری شدت ۷.۷ از ۱۰ برآورد شده است و در سرویس" Add-on Manager" از پلاگین Ninja Forms وجود دارد. این سرویس یک داشبورد متمرکز است که به کاربران امکان میدهد از راه دور تمام افزونههای خریداری شده Ninja Forms را مدیریت کنند.
به گفتهی Wordfence، مهاجمان میتوانند با حساب کاربری خود یک ارتباط OAuth برای سایت وردپرسی آسیبپذیر برقرار کنند و هرگونه پلاگینِ افزونهایِ خریداری شده را در سایت مورد نظر خود نصب کنند.
به منظور تکمیل این ارتباط مخرب، مهاجمان باید مدیران سایت را برای کلیک بر روی یک لینک خاص فریب دهند تا پارامتر client_id در پایگاه داده سایت با یک action AJAX تغییر یافته آپدیت شود.
طبق این تجزیه و تحلیل، پلاگین نامبرده، کُنش AJAX مربوط به wp_ajax_nf_oauth را ثبت میکند که برای بازیابی connection_url که حاوی اطلاعات مهمی است _مانند client_secret برای برقراری ارتباط OAuth با پورتال Ninja Forms Add-On Management _ مورد استفاده قرار میگیرد و متأسفانه قابلیت بررسی این تابع وجود ندارد. و این بدان معناست که کاربران سطح پایین، مانند اعضای عادی سایت، میتوانند action را فعال کرده و URL مورد نیاز برای برقراری ارتباط با داشبورد را بازیابی کنند. مهاجمان همچین میتوانند client_id را برای ارتباطِ فعلیِ OAuth بازیابی کنند.
• آسیبپذیری سوم: حملهی CSRF برای قطع ارتباط سرویس OAuth
آسیبپذیری سوم نیز در قابلیت مدیریت افزونههای Ninja Forms وجود دارد که به راحتی یک ارتباط OAuth را با چند کلیک ساده قطع میکند. برای این آسیبپذیری شدت متوسط با مقدار ۶.۱ در نظر گرفته شده است.
مهاجمان میتوانند با ارسال یک درخواست، ارتباط فعلی OAuth را قطع کنند. Wordfence خاطرنشان کرد که: "این میتواند یک تجربهی گیجکننده برای مالک سایت باشد." برای انجام این کار، مهاجمان باید یک درخواست معتبر بسازند، آن را در خارج از سایت مورد هدف میزبانی کنند و مدیر سایت هدف را مجاب کنند تا بر روی یک لینک یا فایل پیوست کلیک کند.
به گفتهی Wordfence، "به منظور ارائه این عملکرد، پلاگین، کُنش AJAX مربوط به wp_ajax_nf_oauth_disconnect را که متصل به تابع ()disconnect میباشد ثبت میکند. تابع ()disconnect به سادگی یک ارتباط را با حذف موارد مربوط به تنظیمات ارتباط در پایگاه داده، قطع میکند."
• آسیبپذیری چهارم: نقص Administrator Open Redirect
آخرین نقص، در فرایند پردازش ارتباط OAuth وجود دارد. شدت این آسیبپذیری متوسط و مقدار آن ۴.۸ از ۱۰ میباشد.
به منظور بهرهبرداری از این آسیبپذیری، مهاجم باید یک URL خاص با پارامتر تغییر مسیر بسازد که برای هدایت به سایت دلخواهی تنظیم شود، سپس با مهندسی اجتماعی ادمین را وادار به کلیک بر روی یک لینک نماید. اگر این فرایند موفقیتآمیز باشد، ادمین به یک سایت خارجی مخرب هدایت میشود که میتواند سیستم وی را با بدافزار آلوده کند.
تجزیه و تحلیلها نشان میدهد، این پلاگین، کُنش AJAX مربوط به wp_ajax_nf_oauth_connect را ثبت میکند که متصل به تابع ()connect میباشد. این تابع برای هدایت مالک سایت و بازگشت وی به سرویس Ninja Forms وردپرس پس از اتمام فرایند برقراری ارتباط OAuth میباشد. این تابع به طور پیشفرض برای هدایت مالک سایت و بازگشت به صفحهی admin.php?page=ninja-forms#services از wp_safe_redirect استفاده میکند.
اکنون مسئله این است که پارامتر ‘redirect’ میتواند با مقادیر مختلفی جایگزین شود تا ادمین سایت را به URL دلخواهی که در این پارامتر آمده است هدایت کند.
محققان تشریح کردند: "هیچگونه محافظتی جهت اعتبارسنجی مقصدی که در URL هدایت مسیر میآید وجود ندارد و همچین برای جلوگیری از استفاده از این تابع توسط مهاجمان که ادمین را به مقاصد مخرب هدایت نکنند راهی وجود ندارد." البته پیش از این، تابع ()wp_verify_nonce مورد استفاده قرار میگرفت اما پس از ارائه توضیحاتی، منسوخ و غیرقابل استفاده شد.
آسیبپذیریهای مذکور در نسخهی ۳.۴.۳۴.۱ پلاگین Ninja Forms برطرف شدهاند.
منبع خبر: https://threatpost.com/ninja-forms-wordpress-plugin-hacks/164042