แฮกเกอร์ใช้ช่องโหว่ใน Plugins ของ WordPress เข้าโจมตีเว็บไซต์กว่า 1,600,000 แห่ง

นักวิจัยด้านความปลอดภัยจาก Wordfence ผู้พัฒนา Plugins รักษาความปลอดภัยชื่อดังสำหรับใช้บน WordPress ได้เปิดเผยว่ามีเว็บไซต์ที่ใช้ WordPress นับล้านแห่ง ถูกแฮกเกอร์โจมตีผ่านช่องโหว่ที่มีอยู่ใน Plugins และ Epsilon Framework themes เป้าหมายในการโจมตี คือ การเข้าครอบครองเว็บไซต์โดยใช้สิทธิ์ระดับผู้ดูแลระบบ

อ้างอิงจากข้อมูลภายในรายงาน พบว่ามีการโจมตีเกิดขึ้นถึง 13.7 ล้านครั้ง ภายในเวลาเพียง 36 ชั่วโมง โดยการโจมตีมาจาก IP addresses ที่ไม่ซ้ำกันมากถึง 16,000 หมายเลขสำหรับขั้นตอนที่แฮกเกอร์ใช้ในการโจมตี ทางนักวิจัยด้านความปลอดภัยเผยว่า แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ "Unauthenticated arbitrary options update vulnerabilities" ที่มีอยู่ใน Plugins ดังต่อไปนี้ ​​Kiwi Social Share, WordPress Automatic, Pinterest Automatic และ PublishPress Capabilities

โดยแฮกเกอร์จะโจมตีด้วยการอัปเดตการตั้งค่าใน "users_can_register" เพื่อเปลี่ยนค่าจาก "default_role" ให้เป็น "administrator" เพื่อให้แฮกเกอร์สามารถสมัครสมาชิกเว็บไซต์แล้วได้สิทธิ์ระดับผู้ดูแลระบบ (Administrator) เพื่อเข้ายึดเว็บไซต์ได้ทันที

สำหรับเวอร์ชันของปลั๊กอินที่มีช่องโหว่อยู่ จะมีรายละเอียดดังนี้

• Kiwi Social Plugin เวอร์ชัน <= 2.0.10 ปลั๊กอินเพิ่มคุณสมบัติในการแชร์เนื้อหาบนเว็บไซต์ไปยังโซเชียลมีเดีย มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 10,000+ แห่ง
• PublishPress Capabilities เวอร์ชัน<= 2.3 ปลั๊กอินที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งสิทธิ์ในการใช้งานของผู้ใช้งานได้ ตั้งแต่ระดับ Administrators, Editors, Authors, Contributors, Subscribers และ Custom roles มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 100,000+ แห่ง
• Pinterest Automatic เวอร์ชัน <= 4.14.3 ปลั๊กอินตัวนี้ ช่วยให้ผู้ใช้งานสามารถ Pins รูปภาพบนเว็บไซต์ไปยัง Pinterest.com ได้ทันที มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 7,400+ แห่ง
• WordPress Automatic เวอร์ชัน <= 3.53.2 ปลั๊กอินช่วยให้เจ้าของเว็บไซต์สามารถอัปโหลดเนื้อหาไปยัง WordPress อัตโนมัติ มีเว็บไซต์ที่ใช้งานปลั๊กอินตัวนี้อยู่ 28,000+ แห่ง

อ้างอิงจากรายงานของ Wordfence พบว่า การโจมตีจากแฮกเกอร์ได้เริ่มขึ้นประมาณวันที่ 8 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564) ทางนักวิจัยด้านความปลอดภัยสันนิษฐานว่า แฮกเกอร์ได้เปลี่ยนมาให้ความสนใจช่องโหว่เหล่านี้ หลังจากที่ปลั๊กอิน PublishPress Capabilities ได้อัปเดตปิดช่องโหว่ไปเมื่อวันที่ 6 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564) 

ในความเป็นจริง ช่องโหว่ใน Plugins ที่ถูกใช้ในการโจมตีในครั้งนี้ไม่ได้เกิดขึ้นเป็นครั้งแรก อย่างตัวปลั๊กอิน Kiwi Social Share ทาง Ninja Technologies Network ก็เคยรายงานการค้นพบช่องโหว่มาก่อนแล้วในปี ค.ศ. 2018 (พ.ศ. 2561) โดยช่องโหว่ดังกล่าว แฮกเกอร์สามารถใช้ในการแก้ไขค่า "wp_options table" เพื่อสร้างบัญชีผู้ดูแลระบบได้ ซึ่งโจมตีผ่านช่องทางนี้เพิ่งจะกลับมามีจำนวนเพิ่มสูงขึ้นอีกครั้ง หลังจากวันที่ 6 ธันวาคม ค.ศ. 2021 (พ.ศ. 2564)

นอกเหนือไปจากการโจมตีผ่านช่องโหว่ใน Plugins แล้ว ทางแฮกเกอร์ยังมีการโจมตีโดยอาศัยช่องโหว่ใน Epsilon Framework themes โดยนักวิจัยด้านความปลอดภัยระบุว่า ช่องโหว่นี้ช่วยให้แฮกเกอร์สามารถทำการติดตั้งโค้ดจากระยะไกล (Remote-code execution (RCE)) ได้

Epsilon Framework themes เป็นธีมสำหรับปรับแต่งหน้าตาของ WordPress ให้มีความสวยงาม ดูคล้ายนิตยสารอีกด้วย สำหรับธีมที่มีช่องโหว่ และมีเว็บไซต์ติดตั้งมากกว่า 150,000+ แห่ง จะมีรายละเอียดดังนี้

• Activello เวอร์ชัน <=1.4.0
• Affluent เวอร์ชัน <1.1.0
• Allegiant เวอร์ชัน <=1.2.2
• Antreas เวอร์ชัน <=1.0.2
• Bonkers เวอร์ชัน <=1.0.4
• Brilliance เวอร์ชัน <=1.2.7
• Illdy เวอร์ชัน <=2.1.4
• MedZone Lite เวอร์ชัน <=1.2.4
• NatureMag Lite ไม่มีแพทช์แก้ไข ผู้ใช้ควรถอนการติดตั้งออก
• NewsMag เวอร์ชัน <=2.4.1
• Newspaper X เวอร์ชัน <=1.3.1
• Pixova Lite เวอร์ชัน <=2.0.5
• Regina Lite เวอร์ชัน <=2.0.4
• Shapely เวอร์ชัน <=1.2.7
• Transcend <=1.1.8