Web Dev งานเข้าอีกครั้ง ! แฮกเกอร์ใช้ช่องโหว่ LiteSpeed Cache ในการเข้าครอบครองเว็บแบบ Wordpress

การเป็น Web Developer นั้นมีภาระมากมายที่เรียกว่า ง่ายdHไม่ง่าย ยากก็อาจจะไม่ยากขนาดเกินเอื้อม เพราะต้องมีการทำงานทั้งด้านการออกแบบ, การตกแต่งเว็บไซต์, การวางระบบต่าง ๆ และแน่นอนว่าส่วนที่ยากที่สุดส่วนหนึ่งคงเป็นด้านการจัดการในส่วนของความปลอดภัยบนตัวเว็บไซต์ และข่าวนี้อาจทำให้ผู้ที่ทำงานทั้งในส่วนของ Web Developer, Webmaster และ Web Admin อาจจะต้องปวดหัวกันอีกครั้ง

จากรายงานโดยเว็บไซต์ The Hacker News พบว่ากลุ่มแฮกเกอร์ได้มีการใช้ช่องโหว่จากส่วนเสริม (Plugin) อย่าง LiteSpeed Cache ซึ่งเป็นส่วนเสริมที่ช่วยปรับปรุงระบบ Caches ของเว็บไซต์ให้มีการทำงานที่เร็วขึ้น โดยแฮกเกอร์นั้นจะใช้ประโยชน์จากช่องโหว่ที่มีเพื่อการสร้างบัญชีระดับผู้ดูแลเว็บไซต์ (Admin Account) ของตนขึ้นมาเพื่อยึดครองเว็บไซต์

ซึ่งช่องโหว่ดังกล่าวนั้นได้ถูกค้นพบโดยทีม Packstack เมื่อช่วงเดือนกุมภาพันธ์ที่ผ่านมา และได้รับการยืนยันโดยทาง WPScan ภายใต้ชื่อช่องโหว่ CVE-2023-40000 ซึ่งเปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถสร้างบัญชีผู้ดูแลปลอมในชื่อ wpsupp‑user และ wp‑configuser ขึ้นมาเพื่อครอบงำระบบได้ ผ่านการใช้ Cross-site script (XSS) เจาะช่องโหว่ของ Cache บนส่วนเสริม LiteSpeed Cache ที่สคริปท์ของผู้ไม่ประสงค์ดีสามารถถูกจัดเก็บอยู่ในระบบได้ ให้ผู้ไม่ประสงค์ดีแทรกซึมเข้าไปก่อการดังกล่าว ด้วยการยิงคำสั่ง HTTP request ที่ถูกสร้างมาเพื่อการนี้โดยเฉพาะอีกที

ภาพจาก https://thehackernews.com/2024/05/hackers-exploiting-litespeed-cache-bug.html

ซึ่งทางทีมวิจัยได้แนะนำให้ Web Dev และผู้ดูแลระบบทุกรายที่ใช้บริการ Wordpress อยู่ให้ทำการอัปเดตตัว Plugin ดังกล่าวในทันที เพื่อขจัดความเสี่ยงที่อาจเกิดขึ้น รวมไปถึงตรวจเช็คไฟล์ และโฟลเดอร์ต้องสงสัยที่อยู่บนโฮสต์ฝากเว็บไซต์ และลบทันทีเมื่อมีการค้นพบ ทางทีม WPScan ยังแนะนำอีกว่า ให้ตรวจสอบโค้ดต้องสงสัย อย่างเช่น  'eval(atob(Strings.fromCharCode,' ที่อยู่ในออปชัน litespeed.admin_display.messages เพราะการมีอยู่ของโค้ดดังกล่าวอาจหมายถึงแฮกเกอร์พยายามสร้างบัญชีผู้ดูแลขึ้นมา การที่ลงมายับยั้งได้ทันท่วงทีจะช่วยให้เว็บไซต์มีความปลอดภัย