يخبر الباحثون في مجال الأمن أن القراصنة يستغلون ثغرتين خطيرتين في برنامج Houzez، بالإضافة إلى ثغرة أخرى في منصة WordPress لإدارة المحتويات. هذه الثغرات الثلاثة هي ميزات تستخدم بشكل أساسي في مواقع الويب العقارية.
يُعتبر موضوع (هاوزيز) إضافة رائعة مع سعر قدره 69 دولارًا أمريكيًا، إذ توفّر سهولة في إدارة القوائم وخدمة عالية الجودة للعملاء. تدّعي الشركة المطورة للإضافة أنها تخدم أكثر من 35000 عميل في مجال العقارات.
تم اكتشاف ثغرتين من قبل باحث التهديدات لدى شركة Patchstack، ديف جونج، وتم إبلاغ بائعة الإضافة ThemeForest بالثغرة الأولى التي تم إصلاحها في الإصدار رقم 2.6.4 الذي تم إطلاقه في أغسطس الماضي، والثغرة الأخرى التي تم إصلاحها في الإصدار رقم 2.7.2، الذي تم إطلاقه في نوفمبر 2022.
على الرغم من ذلك، حذّر تقرير (باتشستاك) من أن بعض مواقع الويب لم تُطبّق التحديث الأمني حتى الآن، مما يتيح فرصة لجهات الهجوم الإستفادة من الثغرتين بنشاط.
قالت (باتشستاك): "ان الثغرة الموجودة في الموضوع والإضافة تُستغَّل في الوقت الراهن وقد شهدنا عددًا كبيرًا من الهجمات من عنوان بروتوكول الإنترنت 103.167.93.138 في الوقت الذي نكتب فيه التقرير".
تتبع نص الثغرة الأولى (هاوزيز) بالمعرف CVE-2023-26540، والتي تُعد خطرة للغاية بتصنيف 9.8 من 10 على مقياس CVSS 3.1. وكذلك تُتبع الثغرة الأخرى بالمعرف CVE-2023-26009 وهي ذات درجة خطورة مماثلة بقيمة 9.8 من 10.
قال ديف لموقع BleepingComputer إن الجهات المهددة تستغل هذه الثغرات الأمنية عن طريق إرسال طلب إلى نظام النهاية المسؤول عن الرد على طلبات إنشاء حسابات. التطبيق الأمني لهذه الطريقة قد يمنع أي محاولات.
نظرًا لوجود خطأ في التحقق من الصحة، يمكن تقديم طلب لإنشاء مستخدم مسؤول على الموقع، مما يسمح للهاكرز بالسيطرة الكاملة على موقع (وردبرس).
في الهجمات التي لاحظها (باتشيستاك)، استخدم المهاجمون شبكة خلفية قادرة على تنفيذ الأوامر، أو اقتراحات الإعلانات على مواقع الويب، أو إعادة توجيه حركة المرور إلى مواقع ضارة أخرى.
من المؤسف أن تقوم (باتشستاك) بالإبلاغ عن سوء استخدام الثغرتين الآن، ولذلك يجب أن يعمل أصحاب مواقع الويب والمشرفون على تنفيذ التحديثات المتاحة بأولوية لإصلاح هذه الثغرات.