มัลแวร์ wp-vcd กลับมาอีกครั้ง ผู้ใช้งาน WordPress ควรระมัดระวัง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ของ WordPress จากนั้นจะเพิ่มผู้ใช้งานให้มีสิทธิ์เป็นผู้ดูแลระบบอย่างลับๆ และเข้าควบคุมเว็ปไซต์ที่ติดมัลแวร์ตัวนี้
Manuel D’Orso นักวิจัยด้านความปลอดภัยของอิตาลีได้ค้นพบมัลแวร์นี้เป็นครั้งแรก โดยพบว่ามัลแวร์ตัวนี้ถูกโหลดเข้ามาโดยการ include ไฟล์ wp-vcd.php และใส่โค้ดที่เป็นอันตรายลงไปในไฟล์หลักของ WordPress เช่น functions.php และ class.wp.php แต่เมื่อสัปดาห์ที่ผ่านมาทีมจาก Sucuri พบว่ามีการฝังโค้ดที่เป็นอันตรายเข้าไปในไฟล์ Twentyfifteen และ Twentysixteen ด้วย ซึ่งเป็นไฟล์ default theme ตัวเก่าของ WordPress CMS ในปี 2015 และ 2016 ซึ่งยังคงมีไฟล์นี้อยู่ในหลายไซต์แม้ว่าจะปิดใช้งานอยู่ก็ตาม และจะใช้ไฟล์เพื่อซ่อนโค้ดที่จะใช้ในการสร้างผู้ใช้งานที่มีสิทธิ์เป็นผู้ดูแลระบบ โดยจะให้ชื่อผู้ใช้งานว่า "100010010" และจะถูกใช้เพื่อเปิดการเชื่อมต่อไปยังเว็ปไซต์ที่เตรียมไว้ เพื่ออัพโหลดมัลแวร์ wp-cvd ลงในเว็บไซต์
นอกจากนี้นักวิจัยยังพบช่องโหว่ในปลั๊กอิน WordPress สองตัวที่เป็นที่นิยมอย่าง Yoast SEO ที่มีการติดตั้งกว่า 5 ล้านครั้ง และ Formidable Forms ที่มีการติดตั้งถึง 2 แสนครั้ง โดย Ryan Dewhurst เป็นผู้ที่พบช่องโหว่ Cross-site scripting (XSS) ในปลั๊กอิน Yoast SEO ที่ทำให้ผู้โจมตีสามารถฝังโค้ดในเว็ปไซต์ที่มีช่องโหว่ และได้รับการแก้ไขใน Yoast SEO 5.8 แนะนำให้ผู้ใช้ควร patch โดยเร็วที่สุด เนื่องจากสามารถถูกใช้เพื่อทำการ Fishing ข้อมูล Credential ของผู้ดูแลระบบได้
นักวิจัยด้านความปลอดภัย Jouko Pynnönen เป็นผู้พบช่องโหว่ในปลั๊กอิน Formidable Forms ซึ่งมีทั้ง SQL injection, Cross-site scripting (XSS), การดึงข้อมูลที่ไม่ได้รับการพิสูจน์ตัวตน(Unauthenticated) และอื่น ๆ ทำให้ผู้บุกรุกสามารถถ่ายโอนฐานข้อมูลของเว็ปไซต์ที่มีช่องโหว่ได้
โดยช่องโหว่ทั้งหมดนี้ได้รับการแก้ไขในปลั๊กอินเวอร์ชัน 2.05.02 และ 2.05.03 เรียบร้อยแล้ว
ที่มา: BLEEPINGCOMPUTER