بیش از 1.6 میلیون سایت وردپرس توسط یک کمپین حمله فعال در مقیاس بزرگ که از ۱۶۰۰۰ آدرس IP نشات می‌گیرد، با بهره‌برداری از نقاط ضعف در چهار افزونه و ۱۵ تم Epsilon Framework، هدف قرار گرفته‌اند.

شرکت امنیتی وردپرس Wordfence که جزئیات این حملات را فاش کرد، روز پنجشنبه اعلام کرد که بیش از 13.7 میلیون حمله به پلاگین‌ها و تم‌ها را در یک دوره ۳۶ ساعته که با هدف تسخیر وب سایت‌ها و انجام اقدامات مخرب بوده اند، شناسایی و مسدود کرده است.

افزونه های مورد بحث عبارتند از Kiwi Social Share (<= 2.0.10)، WordPress Automatic (<= 3.53.2)، Pinterest Automatic (<= 4.14.3) و PublishPress Capabilities (<= 2.3) که برخی از آنها در نوامبر 2018 پچ شده اند. مضامین تحت تأثیر Epsilon Framework و نسخه‌های مربوط به آنها به شرح زیر است:

Activello (<=1.4.1)
Affluent (<1.1.0)
Allegiant (<=1.2.5)
Antreas (<=1.0.6)
Bonkers (<=1.0.5)
Brilliance (<=1.2.9)
Illdy (<=2.1.6)
MedZone Lite (<=1.2.5)
NatureMag Lite (پچ شناخته شده ای موجود نیست)
NewsMag (<=2.4.1)
Newspaper X (<=1.3.1)
Pixova Lite (<=2.0.6)
Regina Lite (<=2.0.5)
Shapely (<=1.2.8)
Transcend (<=1.1.9)

اکثر حملات مشاهده شده توسط Wordfence شامل بروزرسانی گزینه «users_can_register» (یعنی هرکسی می‌تواند ثبت نام کند) و بروزرسانی تنظیم «default_role» (یعنی نقش پیش‌فرض کاربرانی که در وبلاگ ثبت‌نام می‌کنند) برای ادمین هستند. این ویژگی‌ها به مهاجم اجازه می‌دهد تا برای ثبت نام در سایت‌های آسیب‌پذیر به عنوان یک کاربر سطح بالا اقدام کرده و کنترل را بدست گیرد.

علاوه بر این، گفته می‌شود که نفوذ‌ها مشخصاً پس از ۸ دسامبر افزایش یافته است و طبق گفته کلوئی چمبرلند از Wordfence، نشان می‌دهد که «آسیب‌پذیری تازه پچ‌شده در قابلیت‌های PublishPress ممکن است باعث شود مهاجمان آسیب‌پذیری‌های مختلف بروزرسانی گزینه‌های دلخواه را به عنوان بخشی از یک کمپین عظیم هدف قرار دهند».

با توجه به بهره‌برداری فعال از این آسیب‌پذیری‌ها، به صاحبان سایت وردپرس که هر یک از افزونه‌ها یا تم‌های فوق را اجرا می‌کنند، توصیه می‌شود که آخرین اصلاحات را برای کاهش تهدیدات سایبری اعمال کنند.