المصدر - الويب العربي
قام باحث أمني مقيم في روسيا Emil ‘Neex’ Lerner قبل يومين، بالكشف عن ثغرة أمنية تتيح للمهاجمين تنفيذ هجمات عن بُعد فيPHP 7، وهو الإصدار الأحدث من أشهر لغات برمجية الويب.
وتعتمد معظم مواقع الإنترنت على لغة البرمجية الشهيرة (بي إتش بي) PHP، إذ إنها تشكل الأساس لأنظمة إدارة المحتوى الشائعة، مثل: (ووردبرس) WordPress، و(دروبال) Drupal، بالإضافة إلى التطبيقات الويب الأكثر تطورًا، مثل فيسبوك، لذا فمن الخطورة بمكان أن توجد فيها ثغرة.
ووفقاً لموقع The Next Web المتخصص في الأخبار التقنية ، أوضح الباحث أن الثغرة تنفيذ هجمات عن بُعد بمجرد الوصول إلى رابط URL مصطنع، وكل ما يحتاجه المهاجم لتنفيذ هجومه “?a=” إلى عناوين الويب، ثم الحمولة الخاصة بهم.
ويُعتقد أن مثل هذا الهجوم يقلل بدرجة كبيرة من العائق أمام الدخول لاختراق موقع ويب، ويبسطه إلى الحد الذي يمكن أن يسيء استخدامه حتى من الأشخاص الذين لا يملكون المهارة التقنية.
وقد يكون هذا النشاط نتيجة لقرار اتخذته شركة جوجل مؤخرًا بحظر إعلانات الدعم الفني من مشغلين لم يتم التحقق منهم، ويجري تطبيق هذه السياسة الجديدة خلال الفترة القادمة، وتم الإعلان عنها بتاريخ 31 أغسطس/آب، أي بشكل يتزامن مع بداية هذا النشاط الذي لاحظته شركة Malwarebytes في أوائل شهر سبتمبر/أيلول.
وتتبع الهجمات التي تمت ملاحظتها مؤخرًا الطريقة التقليدية لإقناع المستخدمين بالاتصال بالدعم الفني، والتي تتمثل بإعادة توجيههم إلى صفحة تعرض تحذيرًا حول الفيروسات التي تتفشى على الحاسب ورقم هاتف دعم مجاني.
وقال سيغورا إن عمليات إعادة التوجيه إلى الدعم الفني ليست النشاط الوحيد الذي يلاحظه ضمن هذه الهجمات، وأضاف أنه شاهد حملات تهدف إلى إعادة توجيه المستخدمين إلى مواقع ويب محقونة بتعليمات جافا سكريبت لتعدين العملات الرقمية المشفرة، مما يسمح للمهاجم باستغلال موارد أجهزة المستخدمين لتعدين عملة مونيرو Monero المشفرة طالما أن الصفحة المخترقة مفتوحة.
ويعمد الهاكرز في معظم الحالات إلى تعديل ملفات PHP أو جافا سكريبت JavaScript لتحميل التعليمات البرمجية الضارة، وذلك على الرغم من أن بعض المستخدمين قد أبلغوا عن رؤية التعديلات التي تم إجراؤها على جداول قاعدة البيانات أيضًا.
ولحسن الحظ، فإن الثغرة الأمنية لا تؤثر إلا على الخوادم التي تستخدم خادم الويب NGINX مع امتداد PHP-FPM. وتعد PHP-FPM نسخة مخصصة من FastCGI، مع بعض الميزات الإضافية المصممة للمواقع ذات حركة المرور العالية.
وبعد الإبلاغ عن الثغرة، أصدر الفريق المسؤول عن تطوير لغة (بي إتش بي) نصيحة أمنية لمن يستخدم الإصدار الذي يعاني من الثغرة تحثهم على تحديث (بي إتش بي) إلى الإصدار الأحدث.
وأكدت شركة (باد باكتس) BadPackets الأمنية لموقع ZDNet على وجود دلائل تثبت أن هناك مهاجمين يستغلون الثغرة الأمنية الخطرة في (بي إتش بي 7).
الجدير ذكره على سياق ذلك تم هذا الشهر اختراق الآلاف من مواقع الويب التي تستخدم نظام إدارة المحتوى المعروف باسم ووردبرس WordPress المطور من قبل شركة أوتوماتيك Automattic من خلال التعليمات البرمجية الخبيثة، وذلك وفقًا لباحثين أمنيين في Sucuri و Malwarebytes، حيث يبدو أن جميع عمليات الاختراق تتبع نمطًا مشابهًا يتمثل في تحميل تعليمات برمجية خبيثة من أحد عوامل التهديد المعروفة.
قام باحث أمني مقيم في روسيا Emil ‘Neex’ Lerner قبل يومين، بالكشف عن ثغرة أمنية تتيح للمهاجمين تنفيذ هجمات عن بُعد فيPHP 7، وهو الإصدار الأحدث من أشهر لغات برمجية الويب.
وتعتمد معظم مواقع الإنترنت على لغة البرمجية الشهيرة (بي إتش بي) PHP، إذ إنها تشكل الأساس لأنظمة إدارة المحتوى الشائعة، مثل: (ووردبرس) WordPress، و(دروبال) Drupal، بالإضافة إلى التطبيقات الويب الأكثر تطورًا، مثل فيسبوك، لذا فمن الخطورة بمكان أن توجد فيها ثغرة.
ووفقاً لموقع The Next Web المتخصص في الأخبار التقنية ، أوضح الباحث أن الثغرة تنفيذ هجمات عن بُعد بمجرد الوصول إلى رابط URL مصطنع، وكل ما يحتاجه المهاجم لتنفيذ هجومه “?a=” إلى عناوين الويب، ثم الحمولة الخاصة بهم.
ويُعتقد أن مثل هذا الهجوم يقلل بدرجة كبيرة من العائق أمام الدخول لاختراق موقع ويب، ويبسطه إلى الحد الذي يمكن أن يسيء استخدامه حتى من الأشخاص الذين لا يملكون المهارة التقنية.
وقد يكون هذا النشاط نتيجة لقرار اتخذته شركة جوجل مؤخرًا بحظر إعلانات الدعم الفني من مشغلين لم يتم التحقق منهم، ويجري تطبيق هذه السياسة الجديدة خلال الفترة القادمة، وتم الإعلان عنها بتاريخ 31 أغسطس/آب، أي بشكل يتزامن مع بداية هذا النشاط الذي لاحظته شركة Malwarebytes في أوائل شهر سبتمبر/أيلول.
وتتبع الهجمات التي تمت ملاحظتها مؤخرًا الطريقة التقليدية لإقناع المستخدمين بالاتصال بالدعم الفني، والتي تتمثل بإعادة توجيههم إلى صفحة تعرض تحذيرًا حول الفيروسات التي تتفشى على الحاسب ورقم هاتف دعم مجاني.
وقال سيغورا إن عمليات إعادة التوجيه إلى الدعم الفني ليست النشاط الوحيد الذي يلاحظه ضمن هذه الهجمات، وأضاف أنه شاهد حملات تهدف إلى إعادة توجيه المستخدمين إلى مواقع ويب محقونة بتعليمات جافا سكريبت لتعدين العملات الرقمية المشفرة، مما يسمح للمهاجم باستغلال موارد أجهزة المستخدمين لتعدين عملة مونيرو Monero المشفرة طالما أن الصفحة المخترقة مفتوحة.
ويعمد الهاكرز في معظم الحالات إلى تعديل ملفات PHP أو جافا سكريبت JavaScript لتحميل التعليمات البرمجية الضارة، وذلك على الرغم من أن بعض المستخدمين قد أبلغوا عن رؤية التعديلات التي تم إجراؤها على جداول قاعدة البيانات أيضًا.
ولحسن الحظ، فإن الثغرة الأمنية لا تؤثر إلا على الخوادم التي تستخدم خادم الويب NGINX مع امتداد PHP-FPM. وتعد PHP-FPM نسخة مخصصة من FastCGI، مع بعض الميزات الإضافية المصممة للمواقع ذات حركة المرور العالية.
وبعد الإبلاغ عن الثغرة، أصدر الفريق المسؤول عن تطوير لغة (بي إتش بي) نصيحة أمنية لمن يستخدم الإصدار الذي يعاني من الثغرة تحثهم على تحديث (بي إتش بي) إلى الإصدار الأحدث.
وأكدت شركة (باد باكتس) BadPackets الأمنية لموقع ZDNet على وجود دلائل تثبت أن هناك مهاجمين يستغلون الثغرة الأمنية الخطرة في (بي إتش بي 7).
الجدير ذكره على سياق ذلك تم هذا الشهر اختراق الآلاف من مواقع الويب التي تستخدم نظام إدارة المحتوى المعروف باسم ووردبرس WordPress المطور من قبل شركة أوتوماتيك Automattic من خلال التعليمات البرمجية الخبيثة، وذلك وفقًا لباحثين أمنيين في Sucuri و Malwarebytes، حيث يبدو أن جميع عمليات الاختراق تتبع نمطًا مشابهًا يتمثل في تحميل تعليمات برمجية خبيثة من أحد عوامل التهديد المعروفة.