แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่พึ่งจะได้รับการแก้ไขไปแล้วเมื่อเร็ว ๆ นี้ ในปลั๊กอิน Advanced Custom Fields ของ WordPress เพียงแค่ประมาณ 24 ชั่วโมงหลังจากที่มีการเผยแพร่ PoC ออกสู่สาธารณะ
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-30777 ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) ที่มีระดับความรุนแรงสูง ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลที่มีความสำคัญ และเพิ่มสิทธิ์ในเว็บไซต์ WordPress ที่มีช่องโหว่ได้
ช่องโหว่ดังกล่าวถูกพบโดย Patchstack บริษัทรักษาความปลอดภัยของเว็บไซต์เมื่อวันที่ 2 พฤษภาคม 2023 และมีการเผยแพร่ PoC ออกมาในวันที่ 5 พฤษภาคม 2023 หนึ่งวันหลังจากนั้น ผู้ให้บริการปลั๊กอินดังกล่าวได้มีการอัปเดตแพตซ์ด้านความปลอดภัยด้วยเวอร์ชัน 6.1.6
รายงานจาก Akamai Security Intelligence Group (SIG) พบว่า ตั้งแต่วันที่ 6 พฤษภาคม 2023 Akamai สังเกตเห็นพฤติกรรมการสแกน และการใช้ประโยชน์จากช่องโหว่โดยใช้โค้ดตัวอย่างที่ให้ไว้ในบทความของ Patchstack
Akamai SIG วิเคราะห์ข้อมูลการโจมตีแบบ XSS และระบุได้ว่าพบการโจมตีที่เริ่มต้นภายใน 24 ชั่วโมงหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ
สิ่งที่น่าสนใจคือ Query ที่ผู้โจมตีใช้ เป็นการคัดลอก และใช้ Code ตัวอย่างที่ Patchstack เป็นคนเขียน
มีการตรวจสอบพบว่ากว่า 1.4 ล้านเว็บไซต์ที่ใช้ปลั๊กอิน WordPress ที่ได้รับผลกระทบ ยังไม่ได้อัปเกรดเป็นเวอร์ชันล่าสุดตามสถิติของ wordpress.org เท่ากับว่าผู้โจมตีมีพื้นที่ค่อนข้างใหญ่พอให้ทดลองการโจมตี
ช่องโหว่ XSS ต้องการการตอบสนองบางอย่างของผู้ใช้งานที่สามารถเข้าสู่ระบบ และสามารถเข้าถึงปลั๊กอินได้ เพื่อเรียกใช้โค้ดที่เป็นอันตรายบนเบราว์เซอร์ ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงเว็บไซต์ได้อย่างมีสิทธิ์สูง
จากการตรวจสอบพบว่าวิธีการป้องกันต่าง ๆ ที่มีอยู่ในปัจจุบัน ไม่ได้ทำให้ผู้โจมตีลดการโจมตีลง เนื่องจากผู้โจมตียังเชื่อมั่นว่าสามารถใช้วิธีการ social engineering ในการหลอกล่อเหยื่อ เพื่อเอาชนะวิธีการป้องกันต่าง ๆ ได้
ผู้ดูแลเว็บไซต์ WordPress ที่ใช้ปลั๊กอินที่มีช่องโหว่ดังกล่าว ควรรีบอัปเดทแพตช์เพื่อป้องกันการโจมตีโดยด่วน
คำแนะนำ
หากมีการใช้งานปลั๊กอิน 'Advanced Custom Fields' เวอร์ชันฟรี และเวอร์ชันโปร ควรอัปเดทเป็นเวอร์ชัน 5.12.6 (backported) และ 6.1.6 เพื่อป้องกันการถูกโจมตี
You must be logged in to post a comment.