انتشار شده در تاریخ 1396/08/13 - 10:01

ناامنی Wordpress با اسکن SSH

عدم امنیت کافی در کلیدهای به‌کاررفته در وب‌سایت‌های مبتنی بر ورد پرس به مهاجمان اجازه اسکن بیش از 25000 سیستم را با استفاده از کلیدهای خصوصی SSH می‌دهد.

به گزارش کارگروه امنیت سایبربان؛ مهاجمان در تلاش برای یافتن کلیدهای خصوصی SSH هستند که در هزاران وب‌سایت مبتنی بر ورد پرس وجود دارد. این در حالی است که کارشناسان اظهار کردند، بیش از 25000 وب‌سایت مبتنی بر وردپرس روزانه جهت شناسایی این کلیدهای خصوصی موردبررسی قرارگرفته می‌شوند.
در بررسی‌های صورت گرفته توسط کارشناسان مشخص شد که راه‌های زیادی وجود دارد تا یک کلید خصوصی در یک دایرکتوری وب به پایان برسد. صاحبان وب‌سایت گاهی اوقات قفل خصوصی SSH خود را به‌طور تصادفی به وب‌سایت خود ارسال می‌کنند.
پس‌ازاین اقدام کاربر مهاجم با دانلود و دریافت کد موردنظر فعالیت مخرب خود را برای ورود به سایر سرورهایی که کنترل وب‌سایت را بر عهده‌دارند واردشده و فعالیت مخرب خود را اجرا می‌کند.
هنگام استفاده از SSH یا SFTP دو روش معمول برای ورود به سرور وجود دارد؛ که در این میان کاربر با استفاده از نام کاربری و رمز عبور می‌تواند تأیید هویت خود را مبتنی بر کلید اجرا کند. این در حالی است که هنگام استفاده از احراز هویت مبتنی بر کلید برای کاربر یک کلید عمومی و خصوصی ایجادشده که کلید عمومی برای ورود و نگهداری کاربر در سیستم نگهداری می‌شود. محل ذخیره کلید خصوصی نیز در یک دایرکتوری پیکربندی SSH محلی ذخیره می‌شود. لذا در این میان هنگام شروع یک سرویس‌گیرنده SFTP، آن را با استفاده از احراز هویت مبتنی بر کلید تأیید می‌کند.
مهاجم می‌تواند وب‌سایت‌هایی را که به کلید SSH شما تعلق دارد را از طریق روش‌های مختلف، با استفاده از اصطلاحات مانند root،ssh یا id_rsa برای پیدا کردن دایرکتوری‌های حاوی کلیدهای SSH خصوصی قرار بدهد.
براساس گزارش‌های ارائه‌شده مشخص‌شده است که 61 درصد از متخصصان فناوری اطلاعات مدیریت و فعالیت‌های مدیران وب‌سایت‌ها را بررسی نمی‌کنند. این در حالی است که تنها 35 درصد از کاربران فعالیت‌های خود را خارج از فضای کدهای SSH اجرا می‌کنند تا در برابر مهاجمان در امان باشند.
کارشناسان در بررسی‌های خود اعلام کردند که سازمان‌ها باید اطمینان حاصل کنند که به‌طور تصادفی کلید خصوصی SSH خود را در وب‌سایت یا کد منبع وب خود کپی نکنند، همچنین اگر این کار انجام پذیرفت، ممکن است به‌طور غریزی آن را در سایت کنید و آن را در دسترس عموم قرار دهید و اجازه دهید مهاجم بارگذاری کرده و مهاجم آن را سرقت کند.
به کاربران توصیه می‌شود از کلیدهای خصوصی SSH خود با استفاده از رمز عبور استفاده کنید. این همان گزینه‌ای است که ابتدا کلیدهای ورود را تولید کرده باید به این نکته توجه کرد که رمز عبور محافظت‌شده کلید خصوصی SSH توسط مهاجم قابل‌استفاده نیست مگر اینکه رمز عبور را مهاجم حدس بزند.
کارشناسان پس از بررسی‌های خود اعلام کردند که پس از به سرقت رفتن کلیدهای عمومی سازمان‌ها و وب‌سایت‌ها باید هر چه سریع‌تر کلیدهای عمومی را از با سرعت ممکن از سیستم خود حذف کنند. در صورت انجام ندادن این اقدام مهاجم قادر به کپی کردن بسیاری از کلیدهای عمومی در سیستم خود و اجرای فعالیت مخرب خود را پیش می‌گیرد.