แฮกเกอร์ใช้ช่องโหว่ใน Plugins ของ WordPress เข้าโจมตีเว็บไซต์กว่า 1,600,000 แห่ง
นักวิจัยด้านความปลอดภัยจาก Wordfence ผู้พัฒนา Plugins รักษาความปลอดภัยชื่อดังสำหรับใช้บน WordPress ได้เปิดเผยว่ามีเว็บไซต์ที่ใช้ WordPress นับล้านแห่ง ถูกแฮกเกอร์โจมตีผ่านช่องโหว่ที่มีอยู่ใน Plugins และ Epsilon Framework themes เป้าหมายในการโจมตี คือ การเข้าครอบครองเว็บไซต์โดยใช้สิทธิ์ระดับผู้ดูแลระบบ
อ้างอิงจากข้อมูลภายในรายงาน พบว่ามีการโจมตีเกิดขึ้นถึง 13.7 ล้านครั้ง ภายในเวลาเพียง 36 ชั่วโมง โดยการโจมตีมาจาก IP addresses ที่ไม่ซ้ำกันมากถึง 16,000 หมายเลขสำหรับขั้นตอนที่แฮกเกอร์ใช้ในการโจมตี ทางนักวิจัยด้านความปลอดภัยเผยว่า แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ "Unauthenticated arbitrary options update vulnerabilities" ที่มีอยู่ใน Plugins ดังต่อไปนี้ Kiwi Social Share, WordPress Automatic, Pinterest Automatic และ PublishPress Capabilities
โดยแฮกเกอร์จะโจมตีด้วยการอัปเดตการตั้งค่าใน "users_can_register" เพื่อเปลี่ยนค่าจาก "default_role" ให้เป็น "administrator" เพื่อให้แฮกเกอร์สามารถสมัครสมาชิกเว็บไซต์แล้วได้สิทธิ์ระดับผู้ดูแลระบบ (Administrator) เพื่อเข้ายึดเว็บไซต์ได้ทันที
สำหรับเวอร์ชันของปลั๊กอินที่มีช่องโหว่อยู่ จะมีรายละเอียดดังนี้
- Kiwi Social Plugin เวอร์ชัน <= 2.0.10 ปลั๊กอินเพิ่มคุณสมบัติในการแชร์เนื้อหาบนเว็บไซต์ไปยังโซเชียลมีเดีย มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 10,000+ แห่ง
- PublishPress Capabilities เวอร์ชัน<= 2.3 ปลั๊กอินที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งสิทธิ์ในการใช้งานของผู้ใช้งานได้ ตั้งแต่ระดับ Administrators, Editors, Authors, Contributors, Subscribers และ Custom roles มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 100,000+ แห่ง
- Pinterest Automatic เวอร์ชัน <= 4.14.3 ปลั๊กอินตัวนี้ ช่วยให้ผู้ใช้งานสามารถ Pins รูปภาพบนเว็บไซต์ไปยัง Pinterest.com ได้ทันที มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 7,400+ แห่ง
- WordPress Automatic เวอร์ชัน <= 3.53.2 ปลั๊กอินช่วยให้เจ้าของเว็บไซต์สามารถอัปโหลดเนื้อหาไปยัง WordPress อัตโนมัติ มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 28,000+ แห่ง
อ้างอิงจากรายงานของ Wordfence พบว่า การโจมตีจากแฮกเกอร์ได้เริ่มขึ้นประมาณวันที่ 8 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564) ทางนักวิจัยด้านความปลอดภัยสันนิษฐานว่า แฮกเกอร์ได้เปลี่ยนมาให้ความสนใจช่องโหว่เหล่านี้ หลังจากที่ปลั๊กอิน PublishPress Capabilities ได้อัปเดตปิดช่องโหว่ไปเมื่อวันที่ 6 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564)
ในความเป็นจริง ช่องโหว่ใน Plugins ที่ถูกใช้ในการโจมตีในครั้งนี้ไม่ได้เกิดขึ้นเป็นครั้งแรก อย่างตัวปลั๊กอิน Kiwi Social Share ทาง Ninja Technologies Network ก็เคยรายงานการค้นพบช่องโหว่มาก่อนแล้วในปี ค.ศ. 2018 (พ.ศ. 2561) โดยช่องโหว่ดังกล่าว แฮกเกอร์สามารถใช้ในการแก้ไขค่า "wp_options table" เพื่อสร้างบัญชีผู้ดูแลระบบได้ ซึ่งโจมตีผ่านช่องทางนี้เพิ่งจะกลับมามีจำนวนเพิ่มสูงขึ้นอีกครั้ง หลังจากวันที่ 6 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564)
นอกเหนือไปจากการโจมตีผ่านช่องโหว่ใน Plugins แล้ว ทางแฮกเกอร์ยังมีการโจมตีโดยอาศัยช่องโหว่ใน Epsilon Framework themes โดยนักวิจัยด้านความปลอดภัยระบุว่า ช่องโหว่นี้ช่วยให้แฮกเกอร์สามารถทำการติดตั้งโค้ดจากระยะไกล (Remote-code execution (RCE)) ได้
Epsilon Framework themes เป็นธีมสำหรับปรับแต่งหน้าตาของ WordPress ให้มีความสวยงาม ดูคล้ายนิตยสารอีกด้วย สำหรับธีมที่มีช่องโหว่ และมีเว็บไซต์ติดตั้งมากกว่า 150,000+ แห่ง จะมีรายละเอียดดังนี้
- Activello เวอร์ชัน <=1.4.0
- Affluent เวอร์ชัน <1.1.0
- Allegiant เวอร์ชัน <=1.2.2
- Antreas เวอร์ชัน <=1.0.2
- Bonkers เวอร์ชัน <=1.0.4
- Brilliance เวอร์ชัน <=1.2.7
- Illdy เวอร์ชัน <=2.1.4
- MedZone Lite เวอร์ชัน <=1.2.4
- NatureMag Lite ไม่มีแพทช์แก้ไข ผู้ใช้ควรถอนการติดตั้งออก
- NewsMag เวอร์ชัน <=2.4.1
- Newspaper X เวอร์ชัน <=1.3.1
- Pixova Lite เวอร์ชัน <=2.0.5
- Regina Lite เวอร์ชัน <=2.0.4
- Shapely เวอร์ชัน <=1.2.7
- Transcend <=1.1.8