أمن معلوماتيمواقع التواصل الاجتماعي

محادثات الفيسبوك تتعرض للاختراق !

يمكن لخطأ شديد الخطورة تم العثور عليه في المكوّن الإضافي الرسمي للدردشة على Facebook لمواقع WordPress التي تحتوي على أكثر من 80،000 تثبيت نشط أن يسمح للمهاجمين باعتراض الرسائل التي يرسلها الزوار إلى مالك المواقع المعرضة للخطر.

يسمح مكوّن Facebook Chat الإضافي لمالكي مواقع WordPress بتضمين نافذة منبثقة للدردشة للتواصل مع الزائرين في الوقت الفعلي من خلال منصة الرسائل على Facebook لصفحات Facebook.

إقرأ أيضا : دونالد ترامب: يجب أن تحصل الخزانة الأمريكية على صفقة TikTok

يأتي المكوّن الإضافي أيضًا مع دعم نصوص الدردشة ويسهل إعداد الردود التلقائية والأسئلة الشائعة خارج ساعات العمل لتزويد الزوار بمعلومات مفيدة بينما لا يستطيع مالك الموقع الرد.

رجل في منتصف محادثة موقعك

في تقرير نشره اليوم فريق ذكاء التهديدات في Wordfence ، قال محلل التهديدات كلوي تشامبرلاند إن الخيارات المصادق عليها شديدة الخطورة تغير الضعف مع وجود 7.4 درجة تقييم CVSS أساسية تم اكتشافها في 26 يونيو 2020.

إقرأ أيضا :SnapChat اطلق الرصاصة الأخيرة على تطبيق ال تيك توك

عالج فريق الأمان في Facebook الخلل بإصدار الإصدار 1.6 في 28 يوليو ، بعد شهر تقريبًا من الرد على تقرير Wordfence الأولي.

على مواقع الويب التي تشغل إصدارًا ضعيفًا من المكون الإضافي الرسمي للدردشة على Facebook ، يمكن للمهاجمين ذوي المستوى المنخفض المصدق “ربط حسابهم الخاص على Facebook Messenger [..] والانخراط في محادثات مع زوار الموقع [..].”

لتوصيل نافذة الدردشة المنبثقة بصفحة Facebook الخاصة بالمالك ، يستخدم المكون الإضافي إجراء wp_ajax_update_options AJAX الذي لم يتحقق ، في الإصدارات التي لم يتم إصلاحها ، مما إذا كانت طلبات اتصال الصفحة تأتي من مسؤولي موقع الويب المصدقين.

يوضح تشامبرلاند: “لقد أتاح ذلك لأي مستخدم مصادق عليه ، بما في ذلك الحسابات على مستوى المشتركين ، إرسال طلب لتحديث الخيارات وتوصيل حساب Facebook Messenger الخاص بهم”.

إقرأ أيضا :هذا هو المبلغ الذي ستدفعه شركة twitter

“نتيجة لذلك ، يمكن للمهاجمين ربط حساب Facebook Page Messenger الخاص بهم ، من خلال تحديث معرف الصفحة ، إلى أي موقع معين يقوم بتشغيل المكون الإضافي طالما أنهم كانوا قادرين على التسجيل في الموقع والوصول إلى لوحة تحكم / wp-admin.”

بعد ربط صفحة Facebook الخاصة بهم بدردشة الموقع المستهدف بنجاح ، يتلقى المهاجمون أي رسائل مرسلة عبر Messenger Chat الخاص بالموقع ، ولم يعد مالك الموقع يتلقى أي رسائل واردة.

يضيف تشامبرلاند: “يمكن استغلال محاولات الاستغلال التي تستهدف هذه الثغرة بسهولة كجزء من هجوم الهندسة الاجتماعية من خلال التظاهر كمالك موقع يطلب معلومات تعريف شخصية أو بيانات اعتماد أو معلومات أخرى”.

يمكن للمهاجمين أيضًا استخدام وصولهم إلى محادثات المواقع المخترقة لتدمير سمعة المواقع من خلال التفاعل السام مع زوارهم أو التسبب في خسارة الإيرادات عن طريق “توجيه حركة المرور إلى الأعمال المنافسة.”

لا يزال أكثر من 50000 موقع عرضة للهجمات
على الرغم من أن الإصدار 1.6 من Facebook Chat Plugin تم نشر الإصدار الذي يعالج هذه الثغرة الأمنية في 28 يوليو ، تم تنزيل المكون الإضافي 25657 مرة فقط منذ ذلك الحين استنادًا إلى بيانات التنزيل التاريخية التي توفرها بوابة WordPress ، وهذا هو العدد الإجمالي لكل من التحديثات والجديدة يثبت.

وهذا يعني أن ما لا يقل عن 54000 موقع WordPress مع النوافذ المنبثقة النشطة في Messenger Chat لا تزال عرضة للهجمات المصممة لاستغلال هذا العيب كجزء من حملات القرصنة المستقبلية.

ينصح مستخدمو Facebook Chat Plugin بشدة بتحديث المكون الإضافي إلى الإصدار 1.6 في أقرب وقت ممكن لمنع الهجمات المصممة لاختطاف دردشة مواقعهم كجزء من مخططات الهندسة الاجتماعية.

بالأمس ، أفاد Wordfence أيضًا بعكس نقاط الضعف في البرمجة النصية عبر المواقع (XSS) وحقن كائن PHP الموجودة في المكوّن الإضافي للنشرة الإخبارية WordPress التي يمكن أن تسمح للمتسللين بإدخال المعلومات إلى الخلف ، وإنشاء المسؤولين المارقة ، واحتمال السيطرة على المواقع المتأثرة.

وجد Wordfence أيضًا خطأً فادحًا في مكون WordPress الرسمي من Google مع 300000 من التثبيتات التي يمكن أن تسمح للمهاجمين بالوصول إلى المالك في Google Search Console للمواقع المستهدفة وتسهيل حملات تحسين محركات البحث للقبعة السوداء.

Marwan AlMeslmani

مروان المسلماني , لبناني من محافظة البقاع بالتحديد . اعمل في مجال تصميم وبرمجة المواقع وتطبيقات الجوال ومجال الأمن المعلوماتية . كما انني حصلت على شهادة معتمدة من شركة Google Adword في مجال التسويق الإلكتروني وشهادة من CEH بمجال الأمن المعلوماتية

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

يرجة ايقاف برنامج Ad-Block لدخول

برجاء دعمنا عن طريق تعطيل إضافة Adblock