แฮกเกอร์ใช้ช่องโหว่ใน Plugins ของ WordPress เข้าโจมตีเว็บไซต์กว่า 1,600,000 แห่ง

เมื่อ :
ผู้เข้าชม : 2,780
เขียนโดย :
image_big
image_big
เมื่อ :
ผู้เข้าชม : 2,780
เขียนโดย :

นักวิจัยด้านความปลอดภัยจาก Wordfence ผู้พัฒนา Plugins รักษาความปลอดภัยชื่อดังสำหรับใช้บน WordPress ได้เปิดเผยว่ามีเว็บไซต์ที่ใช้ WordPress นับล้านแห่ง ถูกแฮกเกอร์โจมตีผ่านช่องโหว่ที่มีอยู่ใน Plugins และ Epsilon Framework themes เป้าหมายในการโจมตี คือ การเข้าครอบครองเว็บไซต์โดยใช้สิทธิ์ระดับผู้ดูแลระบบ

อ้างอิงจากข้อมูลภายในรายงาน พบว่ามีการโจมตีเกิดขึ้นถึง 13.7 ล้านครั้ง ภายในเวลาเพียง 36 ชั่วโมง โดยการโจมตีมาจาก IP addresses ที่ไม่ซ้ำกันมากถึง 16,000 หมายเลขสำหรับขั้นตอนที่แฮกเกอร์ใช้ในการโจมตี ทางนักวิจัยด้านความปลอดภัยเผยว่า แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ "Unauthenticated arbitrary options update vulnerabilities" ที่มีอยู่ใน Plugins ดังต่อไปนี้ ​​Kiwi Social Share, WordPress Automatic, Pinterest Automatic และ PublishPress Capabilities

โดยแฮกเกอร์จะโจมตีด้วยการอัปเดตการตั้งค่าใน "users_can_register" เพื่อเปลี่ยนค่าจาก "default_role" ให้เป็น "administrator" เพื่อให้แฮกเกอร์สามารถสมัครสมาชิกเว็บไซต์แล้วได้สิทธิ์ระดับผู้ดูแลระบบ (Administrator) เพื่อเข้ายึดเว็บไซต์ได้ทันที

สำหรับเวอร์ชันของปลั๊กอินที่มีช่องโหว่อยู่ จะมีรายละเอียดดังนี้

  • Kiwi Social Plugin เวอร์ชัน <= 2.0.10 ปลั๊กอินเพิ่มคุณสมบัติในการแชร์เนื้อหาบนเว็บไซต์ไปยังโซเชียลมีเดีย มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 10,000+ แห่ง
  • PublishPress Capabilities เวอร์ชัน<= 2.3 ปลั๊กอินที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งสิทธิ์ในการใช้งานของผู้ใช้งานได้ ตั้งแต่ระดับ Administrators, Editors, Authors, Contributors, Subscribers และ Custom roles มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 100,000+ แห่ง
  • Pinterest Automatic เวอร์ชัน <= 4.14.3 ปลั๊กอินตัวนี้ ช่วยให้ผู้ใช้งานสามารถ Pins รูปภาพบนเว็บไซต์ไปยัง Pinterest.com ได้ทันที มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 7,400+ แห่ง
  • WordPress Automatic เวอร์ชัน <= 3.53.2 ปลั๊กอินช่วยให้เจ้าของเว็บไซต์สามารถอัปโหลดเนื้อหาไปยัง WordPress อัตโนมัติ มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 28,000+ แห่ง

อ้างอิงจากรายงานของ Wordfence พบว่า การโจมตีจากแฮกเกอร์ได้เริ่มขึ้นประมาณวันที่ 8 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564) ทางนักวิจัยด้านความปลอดภัยสันนิษฐานว่า แฮกเกอร์ได้เปลี่ยนมาให้ความสนใจช่องโหว่เหล่านี้ หลังจากที่ปลั๊กอิน PublishPress Capabilities ได้อัปเดตปิดช่องโหว่ไปเมื่อวันที่ 6 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564) 

ในความเป็นจริง ช่องโหว่ใน Plugins ที่ถูกใช้ในการโจมตีในครั้งนี้ไม่ได้เกิดขึ้นเป็นครั้งแรก อย่างตัวปลั๊กอิน Kiwi Social Share ทาง Ninja Technologies Network ก็เคยรายงานการค้นพบช่องโหว่มาก่อนแล้วในปี ค.ศ. 2018 (พ.ศ. 2561) โดยช่องโหว่ดังกล่าว แฮกเกอร์สามารถใช้ในการแก้ไขค่า "wp_options table" เพื่อสร้างบัญชีผู้ดูแลระบบได้ ซึ่งโจมตีผ่านช่องทางนี้เพิ่งจะกลับมามีจำนวนเพิ่มสูงขึ้นอีกครั้ง หลังจากวันที่ 6 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564)

นอกเหนือไปจากการโจมตีผ่านช่องโหว่ใน Plugins แล้ว ทางแฮกเกอร์ยังมีการโจมตีโดยอาศัยช่องโหว่ใน Epsilon Framework themes โดยนักวิจัยด้านความปลอดภัยระบุว่า ช่องโหว่นี้ช่วยให้แฮกเกอร์สามารถทำการติดตั้งโค้ดจากระยะไกล (Remote-code execution (RCE)) ได้

Epsilon Framework themes เป็นธีมสำหรับปรับแต่งหน้าตาของ WordPress ให้มีความสวยงาม ดูคล้ายนิตยสารอีกด้วย สำหรับธีมที่มีช่องโหว่ และมีเว็บไซต์ติดตั้งมากกว่า 150,000+ แห่ง จะมีรายละเอียดดังนี้

  • Activello เวอร์ชัน <=1.4.0
  • Affluent เวอร์ชัน <1.1.0
  • Allegiant เวอร์ชัน <=1.2.2
  • Antreas เวอร์ชัน <=1.0.2
  • Bonkers เวอร์ชัน <=1.0.4
  • Brilliance เวอร์ชัน <=1.2.7
  • Illdy เวอร์ชัน <=2.1.4
  • MedZone Lite เวอร์ชัน <=1.2.4
  • NatureMag Lite ไม่มีแพทช์แก้ไข ผู้ใช้ควรถอนการติดตั้งออก
  • NewsMag เวอร์ชัน <=2.4.1
  • Newspaper X เวอร์ชัน <=1.3.1
  • Pixova Lite เวอร์ชัน <=2.0.5
  • Regina Lite เวอร์ชัน <=2.0.4
  • Shapely เวอร์ชัน <=1.2.7
  • Transcend <=1.1.8
ต้นฉบับ :
ที่มา :
All Rights Reserved. Copyright 1999-2022