WordPress Security (Wordfence) เปิดเผยว่า พบช่องโหว่ Zero-Day จาก Plugin ใน WordPress ที่มีชื่อว่า BackupBuddy กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย โดยช่องโหว่ถูกพบครั้งแรกเมื่อวันที่ 26 สิงหาคม 2565 และมีการพยายามที่จะโจมตีกว่า 5 ล้านครั้งแต่ถูก Block ไว้ได้ทั้งหมด
BackupBuddy เป็น Plugin ที่ช่วยให้ผู้ใช้งานสามารถสำรองข้อมูลทั้งหมดของตัวเองใน WordPress เช่นข้อมูลการติดตั้ง WordPress ธีม เพจ โพสต์ วิดเจ็ต ข้อมูลผู้ใช้ และไฟล์มีเดียเป็นต้น
รายละเอียดของช่องโหว่
ช่องโหว่ Zero-Day BackUpBuddy มีหมายเลข CVE-2022-31474 คะแนน CVSS: 7.5 ซึ่งคาดว่ามีเว็บไซต์ที่ใช้งาน Plugin ดังกล่าวอยู่ประมาณ 140,000 เว็บไซต์
โดยช่องโหว่นี้สามารถทำให้ผู้ไม่หวังดีสามารถดาวน์โหลดไฟล์ได้ตามที่ต้องการ โดยไม่ต้องผ่านการตรวจสอบสิทธิ์จากเว็บไซต์ที่ได้รับผลกระทบ ซึ่งปัญหานี้เกิดจากฟังก์ชันที่เรียกว่า "Local Directory Copy" ที่ออกแบบมาเพื่อจัดเก็บสำเนาข้อมูลสำรองในเครื่อง Wordfence ระบุว่า ช่องโหว่เป็นผลมาจากการใช้งานที่ไม่ปลอดภัย ซึ่งช่วยให้ผู้ไม่หวังดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดาวน์โหลดไฟล์ใด ๆ บนเซิร์ฟเวอร์ก็ได้ตามที่ต้องการ
นอกจากนี้ยังมีการรวบรวม IP ที่มีการการโจมตีสูงสุด 10 อันดับแรกตามรายการดังนี้
- 195.178.120.89 with 1,960,065 attacks blocked
- 51.142.90.255 with 482,604 attacks blocked
- 51.142.185.212 with 366770 attacks blocked
- 52.229.102.181 with 344604 attacks blocked
- 20.10.168.93 with 341,309 attacks blocked
- 20.91.192.253 with 320,187 attacks blocked
- 23.100.57.101 with 303,844 attacks blocked
- 20.38.8.68 with 302,136 attacks blocked
- 20.229.10.195 with 277,545 attacks blocked
- 20.108.248.76 with 211,924 attacks blocked
รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ยังไม่มีการเปิดเผย เนื่องจากการการโจมตีอาจจะเกิดขึ้นเป็นวงกว้าง และเนื่องจากช่องโหว่ดังกล่าวอาจจะสามารถโจมตีได้ง่าย
โดยช่องโหว่อาจทำให้ผู้ไม่หวังดีสามารถเข้าดูเนื้อหาของไฟล์ใด ๆ ก็ตามบนเซิร์ฟเวอร์ที่สามารถอ่านได้จาก WordPress รวมไปถึงไฟล์ที่มีความสำคัญ ซึ่งพบว่าข้อมูลจากการโจมตีส่วนใหญ่เป็นการพยายามเข้าถึงไฟล์ตามรายการด้านล่าง
- /etc/passwd
- /wp-config.php
- .my.cnf
- .accesshash
Version ที่ได้รับผลกระทบ
- BackUpBuddy version 8.5.8.0 - 8.7.4.1
คำแนะนำ
- ทำการอัปเดต BackupBuddy เป็น Version 8.7.5
- หากพบว่ามีการเข้าถึงข้อมูลของผู้ใช้งาน ให้ทำการ Reset Database Password
- เปลี่ยน WordPress Salts (รหัสที่ช่วยรักษาความปลอดภัยการเข้าสู่ระบบของไซต์ WordPress)
- เปลี่ยน API keys ที่เก็บไว้ใน wp-config.php
- ติดตามข่าวสารอย่างสม่ำเสมอ
ที่มา : thehackernews
You must be logged in to post a comment.