«افتح على مصراعيه، الاستغلالات بالداخل»: ثغرات أمنية هائلة تكشف ملايين مواقع جوملا

كان من المفترض أن يكون يوماً عادياً آخر لمديري المواقع الذين يشغّلون جوملا. لكن تحت سطح الإضافات التي يثق بها الآلاف، كانت تتخمّر تهديدات صامتة - تهديدات قادرة على تحويل موقع بريء إلى ساحة لعب للقراصنة بين ليلة وضحاها. اكتشف باحث أمني يقظ سلسلة ثغرات في إطار عمل Novarain (الذي أصبح الآن Tassos)، ما ترك عدداً لا يُحصى من مواقع جوملا مكشوفاً أمام كامل قوة الجريمة السيبرانية: سرقة ملفات، تسريبات بيانات، وسيطرة كاملة على الموقع - كل ذلك دون الحاجة إلى كلمة مرور.

يكمن أصل الأزمة في كيفية تعامل إطار العمل مع طلبات AJAX - وهي ميزة أساسية للمواقع الديناميكية، لكنها سلاح ذو حدين عندما لا تُؤمَّن بشكل صحيح. عبر استغلال دالة “include” ضعيفة، يستطيع المهاجمون إجبار جوملا على تحميل أي ملف أو صنف (class) من نواة الموقع، ثم تشغيل معالجات AJAX خاصة كان يفترض أن تُستخدم داخلياً فقط. النتيجة؟ ثلاثة مسارات هجوم مدمّرة، لا يتطلب أيٌّ منها مصادقة على الإطلاق.

أولاً، تفشل معالجة ملفات CSV في إطار العمل في التحقق من أنواع الملفات بشكل صحيح، ما يسمح لمجرمي الإنترنت بقراءة أي ملف على الخادم يمكن لحساب مستخدم الويب الوصول إليه. ملفات إعدادات حساسة، كلمات مرور، أو حتى بيانات اعتماد قاعدة البيانات تصبح فجأة في متناول اليد. ثانياً، يتيح إجراء “remove” المهمل للغرباء حذف الملفات - تخيل ملفات السجلات، قواعد الأمان، أو ملفات .htpasswd التي تحمي مناطق الإدارة. ثالثاً، وربما الأخطر، هو حقن SQL كلاسيكي: يمرّر المهاجمون بيانات غير مُنقّاة إلى استعلامات قاعدة البيانات، ما يمكّنهم من سحب جداول كاملة أو، الأسوأ، تصعيد الصلاحيات عبر سرقة بيانات اعتماد المدير.

بمجرد الدخول، يمكن للقرصان فعل أي شيء تقريباً: تسجيل الدخول كمسؤول، رفع إضافات خبيثة، حقن شيفرة للتحكم عن بُعد، أو ببساطة زعزعة استقرار الموقع بحذف ملفات حرجة. وقد تكون الآثار المتسلسلة كارثية على الشركات، والمنظمات غير الربحية، وكل من يعتمد على منظومة جوملا التي كانت موضع ثقة.

الإصدارات الضعيفة منتشرة على نطاق واسع، وتؤثر على كل شيء من Convert Forms (الإصدارات v3.2.12–v5.1.0) إلى EngageBox وGoogle Structured Data وAdvanced Custom Fields وSmile Pack. القاسم المشترك؟ إضافة plg_system_nrframework، التي تُسمّى الآن Tassos Framework، والتي تعمل بالإصدارات من 4.10.14 إلى 6.0.37.

يحذّر خبراء الأمن: رقّع الآن، أو خاطر بالاختراق. أصدرت Tassos إصلاحات عاجلة - قم بتنزيلها وتثبيتها عبر مدير الإضافات في جوملا. إذا لم تتمكن من التحديث فوراً، عطّل الإضافات المتأثرة أو إضافة إطار العمل. احظر نقاط نهاية AJAX المشبوهة وراقب سجلاتك بحثاً عن مؤشرات هجوم. تُعد هذه الحادثة جرس إنذار: أطر العمل التابعة لجهات خارجية ليست أقوى من أضعف حلقة فيها، والرضا عن النفس هو أفضل صديق للقراصنة.

بينما يسارع مجتمع جوملا للتعافي، الدرس واضح - ثق، لكن تحقّق. في سباق بناء مواقع قوية، لا تستهِن أبداً بالخطر الكامن في الشيفرة التي لم تكتبها. اليقظة ليست خياراً؛ إنها الشيء الوحيد الذي يقف بين موقعك وبين الاختراق التالي الذي يتصدر العناوين.

WIKICROOK

• AJAX: تتيح AJAX لصفحات الويب تحديث البيانات بشكل غير متزامن، ما يحسّن التفاعلية والسرعة، لكنها يجب أن تُؤمَّن لمنع ثغرات الويب الشائعة.
• حقن SQL: حقن SQL هو تقنية اختراق يُدخل فيها المهاجمون شيفرة خبيثة ضمن مدخلات المستخدم لخداع قاعدة البيانات لتنفيذ أوامر ضارة.
• تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) يحدث عندما يشغّل المهاجم شيفرته الخاصة على نظام الضحية، وغالباً ما يؤدي إلى تحكم كامل أو اختراق ذلك النظام.
• .htpasswd: ملف .htpasswd يخزّن بيانات اعتماد مُشفّرة لحماية الأدلة بكلمة مرور على خوادم ويب Apache، ويُستخدم مع .htaccess للمصادقة الأساسية.
• مدير الإضافات: يُستخدم مدير الإضافات في جوملا لتثبيت إضافات الموقع وتحديثها أو إزالتها، ما يبسّط إدارة الموقع وأمنه.