عيب شديد الخطورة داخل مكون إضافي على وردبرس WordPress يدعى “Icegram” ويساعد مواقع الويب على إرسال رسائل البريد الإلكتروني والرسائل الإخبارية إلى المشتركين، أثر على أكثر من 100 ألف موقع الكتروني.

يتم استخدام البرنامج المساعد Icegram والذي يحتوي على الثغرة الأمنية، لبث رسائل بريد إلكتروني تلقائية جديدة عن مضمون الموقع. وبذلك، يمكن للمهاجم عن بُعد غير المصدق استغلال الثغرة لإرسال رسائل بريد إلكتروني مزورة إلى جميع المذكورين في القوائم المتاحة لجهات الاتصال أو المشتركين، مع القدرة على التحكم الكامل في محتوى وموضوع البريد الإلكتروني.

لإصلاح الخلل، يجب على المستخدمين الترقية إلى المكون الإضافي لـ WordPress Email Subscribers & Newsletters بواسطة Icegram الإصدار 4.5.6 أو أعلى.

يحتل العيب الأمني (CVE-2020-5780) المرتبة 7.5 من 10 على مقياس CVSS، مما يجعله شديد الخطورة وفقا للباحثين في Tenable الذين اكتشفوا الخلل. فهو يؤثر على الإصدارات 4.5.6 والإصدارات الأقدم من المكون الإضافي لمشتركي البريد الإلكتروني والرسائل الإخبارية في WordPress.

تزوير رسائل البريد الإلكتروني في وردبرس

في سيناريو الهجوم الواقعي، يمكن للمهاجم عن بُعد غير المصدق القيام بعمليات التزوير وانتحال الصفة. بحيث يمكنه جدولة رسالة إخبارية جديدة ليتم إرسالها إلى قائمة كاملة من جهات الاتصال، مع تحديد الوقت والموضوع ومحتوى البريد الإلكتروني الذي يتم بثه بشكل تعسفي.

كما يمكن استخدام هذا الهجوم لتنفيذ عمليات تصيد أو احتيال، على غرار الهجوم الذي تعرض له موقع تويتر مؤخراً، حيث يتم استهداف أفراد من القائمة البريدية لمنظمة معينة. ونظراً لأن البريد الإلكتروني قد يأتي من مصدر موثوق به، فمن المرجح أن يثق المستلمون بالرسالة ويقتنعون بمحتواها.

أبلغ الباحثون الأمنيون عن الثغرة في Icegram في 26 أغسطس، ليتم إصدار تصحيح كامل بعد أسبوعين تقريبا. وتجدر الإشارة إلى أن هذه ليست المرة الأولى التي يتم فيها العثور على مكونات WordPress إضافية مليئة بالعيوب، خلال شهر واحد.

ففي وقت سابق من شهر آب، تم إصلاح ثغرات أمنية على برامج مساعدة على وردبرس، تسمح للمهاجمين عن بعد غير المعتمدين بشن هجمات متنوعة قادرة على الاستيلاء الكامل على مواقع الويب المعرضة للخطر. في أغسطس أيضاً، وفي برنامج Newsletter الذي يحتوي على أكثر من 300000 تثبيت، تم اكتشاف ثغرة أمنية قد تؤدي إلى تنفيذ التعليمات البرمجية عن بعد وحتى إمكان الاستيلاء على الموقع بالكامل.

كما حذر الباحثون في تموز أيضا من وجود ثغرة خطيرة في مكون WordPress الإضافي الذي يدعى Comments – wpDiscuz ، والذي تم تثبيته على أكثر من 70000 موقع. أعطى الخلل للمهاجمين غير المصادقين القدرة على تحميل ملفات عشوائية (بما في ذلك ملفات PHP) وتنفيذ التعليمات البرمجية في النهاية على خوادم مواقع الويب الضعيفة.