WPGateway นั้นเป็น Premium Plugin สำหรับช่วยผู้ดูแลไซต์เพื่อติดตั้ง สำรองข้อมูล และโคลนปลั๊กอินต่าง ๆ รวมถึง WordPress Theme จาก Dashboard ซึ่งถูกพบว่ามีช่องโหว่ 0-Day ที่กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย ซึ่งมันจะอนุญาตให้ผู้ไม่หวังดีเข้าควบคุมไซต์ที่ได้รับผลกระทบได้อย่างสมบูรณ์
Wordfence กล่าวว่ามีการติดตั้ง Plugin นี้ไปแล้วมากกว่า 280,000 เว็บไซต์ และได้ blocked การโจมตีช่องโหว่จาก plugin ดังกล่าวไปแล้วกว่า 4.6 ล้านครั้ง ในช่วง 30 วันที่ผ่านมา
รายละเอียดช่องโหว่
ช่องโหว่มีหมายเลข CVE-2022-3180 (CVSS: 9.8) โดยช่องโหว่นี้กำลังถูกใช้เป็นเครื่องมือให้กับผู้ไม่หวังดีสามารถเพิ่ม Malicious administrator เข้าไปบนเว็บไซต์ที่ใช้ WPGateway plugin ได้โดยที่ไม่ต้องผ่านการตรวจสอบสิทธิ์
โดยหากพบว่ามี Administrator user ที่ชื่อว่า “rangex” อยู่บนเว็บไซต์ที่มีการใช้งาน Plugin ดังกล่าว หมายความว่าเว็ปไซต์นั้นอาจจะถูกโจมตีแล้ว หรือหากพบว่ามี request ไปที่ “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” ใน access log ก็เป็นสัญญาณว่าเว็บไซต์กำลังถูกกำหนดให้เป็นเป้าหมายในการโจมตี แต่ไม่ได้หมายความว่าได้ถูกโจมตีสำเร็จไปแล้ว
รายละเอียดเพิ่มเติมอื่น ๆ เกี่ยวกับช่องโหว่ยังคงไม่ถูกเผยแพร่ออกมาเนื่องจากกำลังถูกนำมาใช้ในการโจมตี และเพื่อป้องกันไม่ให้ผู้ไม่หวังดีรายอื่น ๆ ใช้ประโยชน์จากช่องโหว่ดังกล่าว
นอกจากช่องโหว่ที่กล่าวมานั้นยังพบว่ามีกลุ่มผู้ไม่หวังดีได้โจมตีเข้าไปในระบบ Infrastructure ของ FishPig ซึ่งเป็นที่นิยมของ Magento-WordPress ที่พบว่ามีการติดตั้งไปแล้วกว่า 200,000 ครั้ง เพื่อเพิ่มโค้ดที่เป็นอันตรายที่ออกแบบมาเพื่อติดตั้ง Remote access trojan ที่ชื่อว่า Rekoobe ลงใน Software ของ FishPig เพื่อเข้าถึงเว็บไซต์ของเหยื่อที่ใช้งาน Extension ที่กล่าวมา
แต่ปัจจุบันยังไม่พบการดำเนินการใด ๆ เพิ่มเติมหลังจากที่มีการติดตั้ง Trojan ดังกล่าว โดยนักวิจัยมองว่ามีแนวโน้มที่ผู้โจมตีจะขายข้อมูลที่ใช้สำหรับการเข้าถึงเว็ปไซต์ประเภท e-Commerce
โดยทาง FishPig ได้แนะนำให้ผู้ใช้งานทำการลบ Plugin ออก และทำการติดตั้งใหม่ เพื่อแก้ไขช่องโหว่ดังกล่าว
คำแนะนำ
ในกรณีที่ยังไม่มี Patch สำหรับแก้ไข ขอแนะนำให้ผู้ใช้ลบ plugin ออกจาก WordPress ของตัวเองจนกว่าจะมีการออกแพตซ์สำหรับแก้ไขช่องโหว่
ที่มา : thehackernews
You must be logged in to post a comment.