top of page

האקרים ממקדים ניסיונות פריצה לתבניות OneTone

עודכן: 8 באוק׳ 2020

אחד היתרונות הבולטים במערכת השכיחה ביותר לבניית אתרים בעולם, היא העובדה כי היא עוברת שדרוגים רבים בהם הרבה מאוד פרצות אבטחה ושיפורים ויכולות לעבוד מול תוספים וטכנולוגיות חדשות. אך כמו בכל מערכת לעתים גם בוורדפרס יש תבניות או תוספים שהשדרוגים והשיפורים שלהם מדוממים מנוע ומכאן הדרך להשבית את האתר שלכם היא קצרה ומסוכנת. בתקופה האחרונה החלו האקרים למקד ניסיונות פריצה בתבנית OneTone תוך שהם מנצלים את פגיעות התבנית שמעניקה להם את היכולת לקרוא ולכתוב קובצי ה Cookie וכן ליצור חשבונות ניהול אחוריים.

המצב הוא תוצאה של היא באג סקריפטים חוצה אתרים (XSS), בתבנית הנושא של OneTone - WordPress שנוצרה על ידי Magee WP ולא עודכנה מאז 2018.

מה זה XSS ?

הבאג (Cross-site scripting - XSS), הוא סוג של פגיעה באבטחת מחשב המגיעה בדרך כלל מיישומי אינטרנט. התקפות XSS מאפשרות לתוקפים להזרים קודים כדי לעקוף את בקרות הגישה לאתר. התקפות אלו היוו כ 84% מכלל פגיעות האבטחה שתועדו על ידי Symantec עד שנת 2007. ה XSS, מאפשר להאקר להזרים קוד זדוני להגדרות התבנית, התגלה לראשונה על ידי חברת NinTechNet בספטמבר 2019. החברה הודיעה ל- Magee WP (מקימת התבנית) כמו גם לצוות וורדפרס על הבאג באותה תקופה, Magee WP לא שחררה תיקון לבעיה למרות האזהרה.

מה זה XSS ?
מה זה XSS ?

כיצד פועל ה XSS בתבנית ?

הקוד עצמו פועל על שתי פונקציות - אחת שמפנה את משתמשי התבנית למערכת חלוקת תנועה המתארחת ב- ischeck.xyz בעוד פונקציה שנייה מאפשרת ליצור Backdoors. לקוד הזדוני יש אפילו את היכולת לזהות מנהלי אתר שכן הוא מחפש את פרטי מנהל המערכת שנמצא בראש (בראש העמוד) במערכת הניהול. ברגע שהקוד מזהה משתמש עם הרשאות ברמת מנהל המערכת, הוא מוסיף חשבון מנהל מערכת למרכז השליטה של WordPress באתר (תחת שם המשתמש) או יוצר קובץ cookie ברמת חשבון בצד השרת בשם Tho3faeK. שני הדלתות האחוריות הללו מעניקות לתוקף גישה לאתר גם אם קוד ה- XSS הזדוני שלהם מוסר מההגדרות של OneTone.

מצב זה הוביל את צוות וורדפרס להסיר את הרישום עבור הגרסה החינמית של התבנית ממאגר הוורדפרס הרשמי באוקטובר אשתקד. עם זאת, בעת כתיבת שורות אלו, מעל ל 16,000 משתמשי וורדפרס עדיין משתמשים בתבנית זו באתרים שלהם.


עמית צוק
עמית צוק

היי, לא לדאוג.....

נשמע כמו ג'יבריש ?

יש שאלות נוספות, תרצו לקבל הסבר מקיף על נושא המאמר ? לקבל ייעוץ אישי, הדרכה ואפילו ליווי עסקי ? שמי עמית צוק ואני עורכת מגזין קידום אתרים, בעלת מעל ל 20 שנות ניסיון בפיתוח אתרים, קידום וניהול קמפיינים באינטרנט ובניית אסטרטגיות שיווקיות ופרסומיות באינטרנט.

צרו עימי קשר (מבטיחה לא לשלוח ספאם).....

29 צפיות0 תגובות

פוסטים אחרונים

הצג הכול

Comments


bottom of page