ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

Web Dev งานเข้าอีกครั้ง ! แฮกเกอร์ใช้ช่องโหว่ LiteSpeed Cache ในการเข้าครอบครองเว็บแบบ Wordpress

Web Dev งานเข้าอีกครั้ง ! แฮกเกอร์ใช้ช่องโหว่ LiteSpeed Cache ในการเข้าครอบครองเว็บแบบ Wordpress
ภาพจาก : https://wordpress.org/plugins/litespeed-cache/
เมื่อ :
|  ผู้เข้าชม : 1,039
เขียนโดย :
0 Web+Dev+%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%AD%E0%B8%B5%E0%B8%81%E0%B8%84%E0%B8%A3%E0%B8%B1%E0%B9%89%E0%B8%87+%21+%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+LiteSpeed+Cache+%E0%B9%83%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%84%E0%B8%A3%E0%B8%AD%E0%B8%9A%E0%B8%84%E0%B8%A3%E0%B8%AD%E0%B8%87%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B9%81%E0%B8%9A%E0%B8%9A+Wordpress
A- A+
แชร์หน้าเว็บนี้ :

การเป็น Web Developer นั้นมีภาระมากมายที่เรียกว่า ง่ายdHไม่ง่าย ยากก็อาจจะไม่ยากขนาดเกินเอื้อม เพราะต้องมีการทำงานทั้งด้านการออกแบบ, การตกแต่งเว็บไซต์, การวางระบบต่าง ๆ และแน่นอนว่าส่วนที่ยากที่สุดส่วนหนึ่งคงเป็นด้านการจัดการในส่วนของความปลอดภัยบนตัวเว็บไซต์ และข่าวนี้อาจทำให้ผู้ที่ทำงานทั้งในส่วนของ Web Developer, Webmaster และ Web Admin อาจจะต้องปวดหัวกันอีกครั้ง

จากรายงานโดยเว็บไซต์ The Hacker News พบว่ากลุ่มแฮกเกอร์ได้มีการใช้ช่องโหว่จากส่วนเสริม (Plugin) อย่าง LiteSpeed Cache ซึ่งเป็นส่วนเสริมที่ช่วยปรับปรุงระบบ Caches ของเว็บไซต์ให้มีการทำงานที่เร็วขึ้น โดยแฮกเกอร์นั้นจะใช้ประโยชน์จากช่องโหว่ที่มีเพื่อการสร้างบัญชีระดับผู้ดูแลเว็บไซต์ (Admin Account) ของตนขึ้นมาเพื่อยึดครองเว็บไซต์

บทความเกี่ยวกับ Wordpress อื่นๆ

ซึ่งช่องโหว่ดังกล่าวนั้นได้ถูกค้นพบโดยทีม Packstack เมื่อช่วงเดือนกุมภาพันธ์ที่ผ่านมา และได้รับการยืนยันโดยทาง WPScan ภายใต้ชื่อช่องโหว่ CVE-2023-40000 ซึ่งเปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถสร้างบัญชีผู้ดูแลปลอมในชื่อ wpsupp‑user และ wp‑configuser ขึ้นมาเพื่อครอบงำระบบได้ ผ่านการใช้ Cross-site script (XSS) เจาะช่องโหว่ของ Cache บนส่วนเสริม LiteSpeed Cache ที่สคริปท์ของผู้ไม่ประสงค์ดีสามารถถูกจัดเก็บอยู่ในระบบได้ ให้ผู้ไม่ประสงค์ดีแทรกซึมเข้าไปก่อการดังกล่าว ด้วยการยิงคำสั่ง HTTP request ที่ถูกสร้างมาเพื่อการนี้โดยเฉพาะอีกที

Web Dev งานเข้าอีกครั้ง ! แฮกเกอร์ใช้ช่องโหว่ LiteSpeed Cache ในการเข้าครอบครองเว็บแบบ Wordpress
ภาพจาก https://thehackernews.com/2024/05/hackers-exploiting-litespeed-cache-bug.html

ซึ่งทางทีมวิจัยได้แนะนำให้ Web Dev และผู้ดูแลระบบทุกรายที่ใช้บริการ Wordpress อยู่ให้ทำการอัปเดตตัว Plugin ดังกล่าวในทันที เพื่อขจัดความเสี่ยงที่อาจเกิดขึ้น รวมไปถึงตรวจเช็คไฟล์ และโฟลเดอร์ต้องสงสัยที่อยู่บนโฮสต์ฝากเว็บไซต์ และลบทันทีเมื่อมีการค้นพบ ทางทีม WPScan ยังแนะนำอีกว่า ให้ตรวจสอบโค้ดต้องสงสัย อย่างเช่น  'eval(atob(Strings.fromCharCode,' ที่อยู่ในออปชัน litespeed.admin_display.messages เพราะการมีอยู่ของโค้ดดังกล่าวอาจหมายถึงแฮกเกอร์พยายามสร้างบัญชีผู้ดูแลขึ้นมา การที่ลงมายับยั้งได้ทันท่วงทีจะช่วยให้เว็บไซต์มีความปลอดภัย


ที่มา : thehackernews.com , wordpress.org

0 Web+Dev+%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%AD%E0%B8%B5%E0%B8%81%E0%B8%84%E0%B8%A3%E0%B8%B1%E0%B9%89%E0%B8%87+%21+%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+LiteSpeed+Cache+%E0%B9%83%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%84%E0%B8%A3%E0%B8%AD%E0%B8%9A%E0%B8%84%E0%B8%A3%E0%B8%AD%E0%B8%87%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B9%81%E0%B8%9A%E0%B8%9A+Wordpress
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น