يقوم الهاكرز في الوقت الحالي باستغلال ثغرة خطيرة في إضافة Breeze Cache الشهيرة لمواقع WordPress، حيث تتيح لهم تحميل ملفات عشوائية على خوادم المواقع دون الحاجة إلى كلمات مرور أو تحقق من الهوية، وهذا الأمر يمثل تهديدًا كبيرًا لملايين المواقع التي تعتمد على هذه الإضافة.
خطورة الثغرة الأمنية
الثغرة تحمل الرقم التعريفي CVE-2026-3844 وقد تم تسجيل أكثر من 170 محاولة اختراق من خلالها وفقًا لشركة Wordfence المتخصصة في حماية مواقع WordPress، والأمر يزداد سوءًا حيث أن إضافة Breeze Cache مثبتة على أكثر من 400 ألف موقع نشط حول العالم، مما يعني أن عدد الأشخاص المتأثرين بهذا الخلل قد يكون كبيرًا للغاية.
ما هي إضافة Breeze Cache؟
إضافة Breeze Cache، التي طورتها شركة Cloudways، تهدف إلى تحسين سرعة تحميل المواقع من خلال تخزين نسخ من محتوى الصفحات وتحسين الملفات وتنظيف قاعدة البيانات، يمكن تشبيه هذه الإضافة بنادل ذكي في مطعم، يتذكر طلبات الزبائن ليقدمها لهم بسرعة، لكن بدون حماية كافية، تصبح هذه الإضافة عرضة للخطر.
اكتشاف الثغرة
اكتشف الباحث الأمني Hung Nguyen المعروف باسم bashu هذه الثغرة، وقد صنفها خبراء الأمن على أنها حرجة جدًا حيث حصلت على درجة 9.8 من 10، مما يدل على أن الخطورة قريبة من الحد الأقصى، وكل نقطة في هذه الدرجة تمثل فارقًا كبيرًا في أمان المواقع.
ما سبب المشكلة؟
الباحثون في شركة Defiant، التي طورت برنامج Wordfence، أوضحوا أن السبب الجذري للثغرة هو غياب التحقق من نوع الملفات في دالة تُسمى ‘fetch_gravatar_from_remote’، مما يعني أن الإضافة تقبل أي ملف يتم تحميله دون التأكد من كونه صورة فعلية، وهذا يمثل خطرًا كبيرًا.
الإصدارات المتأثرة
تؤثر الثغرة على جميع إصدارات Breeze Cache حتى الإصدار 2.4.4، بينما قامت شركة Cloudways بإصلاح الخلل في الإصدار 2.4.5، الذي تم إطلاقه قريبًا من اكتشاف المشكلة، ومن المهم الإشارة إلى أن الإصدار الجديد حصل على حوالي 138 ألف تحميل منذ إطلاقه، لكن هذا العدد لا يزال غير كافٍ.
كيفية استغلال الثغرة
يستطيع الهاكرز تحديد موقع WordPress يستخدم نسخة قديمة من Breeze Cache مع تفعيل خاصية “استضافة الصور محليًا”، ثم يقومون بإنشاء ملف خبيث بلغة PHP ويجعلونه يبدو كصورة عادية، الإضافة تقوم بتحميل هذا الملف الخبيث وتضعه على الخادم، مما يتيح للهاكر الوصول إليه وتنفيذ أي أوامر يرغب بها.
الميزة التي تحتاج التفعيل
الاستغلال الكامل يتطلب تفعيل ميزة اختيارية تُسمى “Host Files Locally – Gravatars”، وهذه الميزة معطلة بشكل افتراضي، لكن لا أحد يعرف عدد المواقع التي فعلت هذه الميزة، مما يزيد من خطورة الموقف، فقد يكون بعض أصحاب المواقع فعلوا هذه الميزة دون إدراك المخاطر.
الخطر الحقيقي
عندما يتمكن الهاكر من تحميل ملف خبيث على الخادم، يصبح لديه القدرة على تنفيذ أي كود يرغب فيه، مما يعني أنه يستطيع التحكم الكامل بالموقع وسرقة البيانات أو إضافة باكدور للعودة لاحقًا، أو حتى استخدام الموقع كقاعدة انطلاق لهجمات على مواقع أخرى، وهذا يجعل الموقع عرضة للخطر.
ما يجب على أصحاب المواقع فعله
ينبغي على المسؤولين عن المواقع التي تستخدم Breeze Cache تحديث الإضافة إلى الإصدار الجديد 2.4.5 في أسرع وقت، أو على الأقل تعطيل الإضافة بشكل مؤقت، حيث لا يوجد وقت للتأخير لأن الهجمات قد بدأت بالفعل، وإذا كان من الصعب التحديث لأسباب تقنية، يجب تعطيل ميزة “Host Files Locally – Gravatars” فورًا.
خطوات الحماية الإضافية
إذا كنت تشك في أن موقعك قد تعرض للاختراق، هناك علامات تحذيرية يجب البحث عنها، مثل طلبات غريبة في سجلات الخادم، أو ملفات جديدة بامتدادات خطيرة مثل .php، والتحقق من قاعدة البيانات عن حسابات مسؤول غير معروفة، إذا وجدت أي من هذه العلامات، يجب اتخاذ الإجراءات فورًا.
إصلاح الاختراق
إذا اكتشفت أن موقعك تعرض للاختراق، يجب تدوير جميع كلمات المرور، ومسح الملفات الخبيثة، وتحديث Breeze إلى النسخة الآمنة، ومراقبة سجلات الموقع بحذر لمدة لا تقل عن 30 يومًا، العملية ليست مستحيلة لكنها قد تكون مرهقة وتحتاج إلى استدعاء متخصصين.