تم تصنيف المكون الإضافي لعناصر واجهة المستخدم المشفرة لنظام إدارة محتوى الويب WordPress على أنه “خطر كبير على الأمن السيبراني” أمس.
أشارت نشرة أمنية صادرة عن وكالة الأمن السيبراني في سنغافورة (CSA) إلى أنه تم تحديد مكون إضافي يسمى “The Cryptocurrency Widgets – Price Ticker & Coins List” باعتباره خطرًا على الأمن السيبراني ويمكن استغلاله لاستخراج معلومات حساسة.
حصلت أداة العملات المشفرة على درجة أساسية تبلغ 9.8/10، مما يضعها في مجموعة الثغرات “الحرجة” التي تستخدمها وكالة الفضاء الكندية للإشارة إلى الثغرات الأمنية بحد أدنى 9/10.
نقاط الضعف في البرنامج المساعد Crypto Widget
قالت قاعدة بيانات الثغرات الأمنية الوطنية (NVD)، وهي مستودع الحكومة الأمريكية لبيانات إدارة الثغرات الأمنية القائمة على المعايير، إن مكون التشفير الإضافي لـ WordPress عرضة لحقن SQL من خلال معلمة “coinslist” في الإصدارات 2.0 إلى 2.6.5.
نشأت مشكلة عدم الحصانة هذه بسبب عدم كفاية الهروب من المعلمة التي يوفرها المستخدم والتحضير غير الكافي لاستعلام SQL الموجود. وقد سمح باستخراج معلومات حساسة من قاعدة البيانات، مما مكّن المهاجمين غير المصادقين من إضافة استعلامات لغة منظمة إضافية إلى الاستعلامات الحالية.
وفقًا لبرنامج CVE الخاص بشركة الأمان، تم توفير الأداة من قبل بائع يُعرف باسم “narinder-singh”، وتم تحديد الإصدارات من 2.0 إلى 2.6.5 على أنها تحتوي على الثغرة الأمنية.
مخاطر الأمن السيبراني التي تعاني منها العملات المشفرة
أصبحت الثغرات الأمنية شائعة بشكل متزايد في صناعة العملات المشفرة. قبل أسبوعين، عالجت شركة Lamassu Industries المصنعة لأجهزة الصراف الآلي الخاصة بالبيتكوين ثغرة أمنية، إذا تم استغلالها، كان من الممكن أن توفر للمتسللين “السيطرة الكاملة” على أجهزة الصراف الآلي الخاصة بالبيتكوين.
أفاد غابرييل غونزاليس، مدير أمن الأجهزة في IOActive، أن الثغرات الأمنية المستغلة ربما سمحت للمتسللين بإفراغ جميع الأموال من أجهزة الصراف الآلي والتلاعب بقارئ الملاحظات لعرض مبالغ إيداع غير دقيقة.
تم اكتشاف الثغرة الأمنية عندما حاول فريق من المتسللين الأخلاقيين من شركة الأمن IOActive اختراق أجهزة الصراف الآلي الخاصة بالبيتكوين الخاصة بشركة Lamassu في عام 2023. وقد حدد الباحثون نقاط الضعف المتعددة واستغلوها، وحصلوا في النهاية على السيطرة الكاملة على أجهزة الصراف الآلي.
