Webmaster งานเข้า! พบ Wordpress Plugin ยอดนิยม Forminator มีช่องโหว่ร้ายแรงให้แฮกเกอร์ยึดเว็บได้
ไม่ว่าจะผ่านมากี่ยุคกี่สมัย เว็บไซต์ก็ยังคงเป็นเครื่องมือหลักในการสร้างธุรกิจและตัวตนที่มีความน่าเชื่อถืออยู่ เมื่อเทียบกับการใช้งานเครื่องมืออื่น ๆ เช่น โซเชียลมีเดีย นั่นทำให้การสร้างเว็บไซต์นั้นยังเป็นที่นิยมอยู่ และเครื่องมือสำหรับสร้างเว็บไซต์ที่เป็นที่นิยมมากที่สุดคงหนีไม่พ้น Wordpress ที่มีกลุ่มผู้ใช้งานกว้างขวาง มีเครื่องมือสนับสนุนมากมาย และแน่นอน รวมไปถึงมีแฮ็กเกอร์จ้องโจมตีอยู่เป็นจำนวนมากด้วย สำหรับเว็บมาสเตอร์ทั้งหลายเมื่อเห็นข่าวนี้อาจต้องเพิ่มความระมัดระวังตัวที่มากยิ่งขึ้น
จากรายงานโดยเว็บไซต์ Bleeping Computing ทางหน่วยงาน JPCERT ซึ่งเป็นองค์กรด้านความปลอดภัยทางไซเบอร์จากประเทศญี่ปุ่น ได้ค้นพบช่องโหว่ร้ายแรงบนปลั๊กอิน Forminator ของเครื่องมือ Wordpress ซึ่งเป็นปลั๊กอินที่พัฒนาขึ้นมาโดย WPMU Dev สำหรับใช้ในการสร้าง รายชื่อผู้ติดต่อแบบดัดแปลงได้ (Custom Contact), Feedback, Quiz, แบบสำรวจ และแบบสอบถาม, รวมไปถึงการสร้างหน้าจอส่วนของการชำระเงิน (Payment) อย่างง่ายดายเพียงลากวาง
ภาพจาก https://wordpress.org/plugins/forminator/advanced/
โดยทีมงาน JPCERT ได้ค้นพบช่องโหว่ (CVE-2024-28890, CVSS v3:9.8) ที่เป็นช่องโหว่ของตัวปลั๊กอินที่สามารถเปิดทางให้กลุ่มผู้ไม่ประสงค์ดีสามารถอัปโหลดมัลแวร์ขึ้นสู่ตัวเว็บไซต์ของเหยื่อได้ ซึ่งการโจมตีนั้นรวมไปถึงการขโมยข้อมูลสำคัญบนเว็บไซต์ การใช้ปลั๊กอินดัดแปลงเว็บไซต์ไปในทิศทางที่ผู้สร้างไม่ต้อง รวมไปถึงการใช้ช่องโหว่เพื่อการโจมตีในรูปแบบ Denial-of-Service (DoS) อีกด้วย
ซึ่งรายละเอียดของช่องโหว่ต่าง ๆ บนปลั๊กอิน Forminator นั้น ทาง JPCERT ได้ระบุไว้โดยสังเขปบนเว็บไซต์ดังนี้
- CVE-2024-28890 เป็นช่องโหว่ด้านการตรวจสอบความถูกต้องของไฟล์ระหว่างการอัปโหลด ซึ่งช่วยเปิดทางให้ผู้โจมตีสามารถอัปโหลดมัลแวร์ขึ้นเว็บไซต์ได้ กระทบ Forminator รุ่น 1.29.0 หรือเก่ากว่า
- CVE-2024-31077 เป็นช่องโหว่ด้านการโจมตีด้วยการยิงคำสั่งบนภาษา SQL ที่ช่วยให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบและจัดการฐานข้อมูล SQL บนเว็บไซต์ได้ กระทบ Forminator รุ่น 1.29.3 หรือเก่ากว่า
- CVE-2024-31857 เป็นช่องโหว่ของสคริปต์แบบข้ามไซต์ (Cross Site Script XSS) ที่เปิดทางให้ผู้โจมตีสามารถรันสคริปต์ HTML และสคริปต์อื่น ๆ บนเว็บเบราว์เซอร์ของเหยื่อได้ กระทบ Forminator รุ่น 1.15.4 หรือเก่ากว่า
โดยทางทีมวิจัยแนะนำให้เว็บมาสเตอร์จัดการอัปเดตปลั๊กอินดังกล่าวให้เป็นรุ่นล่าสุดโดยด่วน เพื่ออุดช่องโหว่ต่าง ๆ ที่กล่าวมาทั้งหมด