هجمة ضخمة تستغل ثغرات قديمة في إضافتي GutenKit وHunk Companion وتستهدف مواقع ووردبريس

في موجة استغلال واسعة انطلقت في أكتوبر 2025، رصدت مؤشرات تهديد نشاطًا عدائيًا يستهدف مواقع ووردبريس التي لم تُحدّث إضافتي GutenKit وHunk Companion. تستغل الحملة ثغرات معروفة أُبلغ عنها في 2024 تتيح للمهاجمين غير المصدّقين تثبيت وتفعيل إضافات تعسُّفية وتنفيذ تعليمات برمجية عن بُعد، مما يسهّل الاستيلاء على مواقع للقيام بأغراض خبيثة متعددة.

ما الذي حدث ومتى بدأت الهجمات؟

تظهر قواعد البيانات التحليلية ونُظُم الحماية أن موجة الاستغلال النشط بدأت في ثامن أكتوبر 2025 وامتدت بسرعة عبر آلاف المواقع غير المحدثة. سجّلت محاولات الاستغلال أعدادًا هائلة خلال فترة زمنية قصيرة، ما يُشير إلى حملة آلية واسعة النطاق تُركِّز على استهداف مواقع تحمل إصدارات قديمة من الإضافتين.

آلية الاستغلال والتأثيرات التقنية

الثغرات الموصوفة تتيح للمهاجمين إرسال طلبات إلى واجهات تثبيت الإضافات أو مسارات واجهة برمجة التطبيقات (REST) لإدراج وتفعيل إضافات خبيثة تلقائيًا. في حالات عدة، يؤدي ذلك إلى تنزيل أرشيف ZIP يستضيف إضافة خبيثة قادرة على: تسجيل دخول المهاجم كمسؤول تلقائيًا، رفع وتنزيل ملفات بمحرِّك تلقائي، إسقاط حمولة PHP تقوم بتشويه واجهات المواقع (defacement)، تنفيذ مراقبة شبكية ونسخ ملفات، ونشر برمجيات خبيثة إضافية عبر سطر أوامر. عندما تعجز المحاولات عن الحصول على خلفية إدارية كاملة، يتجه المهاجمون إلى تثبيت إضافات عرضة للاستغلال مثل “wp-query-console” لتحقيق تنفيذ أوامر عن بُعد دون مصادقة.

خلفية سياقية: لماذا لا تزال المواقع معرضة؟

التحديثات التصحيحية للثغرات صدرت في 2024، لكن العديد من مالكي المواقع يؤجلون أو يتجاهلون تحديث الإضافات، أو يتركون إضافات غير مستخدمة في بيئة الإنتاج. تراكم الإضافات قديمًا يزيد من “سطح الهجوم” ويجعل المواقع هدفًا سهلاً لحملات الاستغلال الآلية. كما تُستغل أساليب الإخفاء والتشويش في برمجيات الحملات لمراوغة فحوصات الأمان التقليدية.

توصيات عملية فورية للتخفيف والاستجابة

1. حدّث GutenKit وHunk Companion فورًا إلى الإصدارات المصلَحة أو احذف/عطّل الإضافتين إن لم تكن ضروريتين.

2. راجع سجلات الوصول وسجلات تثبيت الإضافات فورًا بحثًا عن نشاط غير مألوف ومحاولات POST إلى نقاط واجهة REST.

3. فعّل فحصًا فورياً لتغيّر ملفات النظام، وابحث عن وجود أرشيفات ZIP أو إضافات جديدة لم تُصرّح بها الإدارة.

4. نفّذ سياسات الحدّ من الامتيازات: قلّل عدد الحسابات ذات صلاحيات المشرف، وغيّر كلمات المرور ومفاتيح الوصول الحسّاسة.

5. استخدم جدران تطبيقات ويب (WAF) وأنظمة كشف التسلل للتعرّف على حمولات الاستغلال المعروفة واحتجازها، وطبّق قوائم حظر على طلبات التثبيت المشبوهة.

6. أزل الإضافات غير المستخدمة بانتظام وطبق برنامج إدارة التحديثات الآلي والمراقبة المستمرة.