แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ critical ใน WooCommerce Payments เพื่อเข้าถึงสิทธิ์ของผู้ใช้งาน รวมถึงสิทธิ์ของผู้ดูแลระบบใน WordPress ที่มีช่องโหว่
WooCommerce Payments เป็นปลั๊กอินใน WordPress ที่ได้รับความนิยม ซึ่งช่วยให้เว็บไซต์สามารถรับบัตรเครดิต และบัตรเดบิตเป็นการชำระเงินในร้านค้า WooCommerce โดยมีปลั๊กอินนี้ถูกดาวน์โหลดไปใช้งานบน WordPress มากกว่า 600,000 ครั้ง
ในวันที่ 23 มีนาคม 2023 ผู้พัฒนาได้เผยแพร่เวอร์ชัน 5.6.2 เพื่อแก้ไขช่องโหว่ระดับ critical ซึ่งมีหมายเลข CVE-2023-28121 โดยช่องโหว่นี้ส่งผลกระทบต่อปลั๊กอินการชำระเงิน WooCommerce เวอร์ชัน 4.8.0 ขึ้นไป โดยมีการแก้ไขในเวอร์ชัน 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 และใหม่กว่า
เนื่องจากช่องโหว่นี้ทำให้ผู้โจมตีจากภายนอกสามารถปลอมเป็นผู้ดูแลระบบ และเข้าควบคุมเว็บไซต์ WordPress ได้ทำให้ก่อนหน้านี้ Automattic (บริษัทที่อยู่เบื้องหลังระบบจัดการเนื้อหา WordPress) จึงบังคับให้เว็บไซต์หลายแสนแห่งที่ใช้ WooCommerce Payments ติดตั้งการอัปเดตความปลอดภัยดังกล่าว
ในขณะนั้น WooCommerce ระบุว่ายังไม่พบการใช้ประโยชน์จากช่องโหว่ดังกล่าว แต่นักวิจัยเตือนว่าเนื่องจากเป็นช่องโหว่ในระดับ Critical จึงคาดว่าน่าจะเห็นการนำมาใช้ประโยชน์ในการโจมตีในอนาคต
ในเดือนนี้ นักวิจัยจาก RCE Security ได้วิเคราะห์ช่องโหว่ และเผยแพร่บล็อกทางเทคนิคเกี่ยวกับช่องโหว่ CVE-2023-28121 และวิธีการโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าว
ผู้โจมตีสามารถเพิ่ม request header ' X-WCPAY-PLATFORM-CHECKOUT-USER ' และตั้งค่าเป็น ID ผู้ใช้งานของบัญชีที่ต้องการแอบอ้าง
เมื่อ WooCommerce Payments ได้รับ header นี้ จะถือว่าคำขอนั้นมาจาก ID ผู้ใช้งานที่ระบุ รวมถึงสิทธิ์ทั้งหมดของผู้ใช้งาน
RCE Security ได้เผยแพร่ proof-of-concept ที่ใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ดูแลระบบใหม่บนเว็ปไซต์ WordPress ที่มีช่องโหว่ ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมเว็บไซต์ได้
โดย Wordfence บริษัทรักษาความปลอดภัยแจ้งเตือนว่าผู้โจมตีกำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ โดยมีเป้าหมายมากกว่า 157,000 เว็บไซต์
"การโจมตีของช่องโหว่ CVE-2023-28121 เริ่มขึ้นในวันพฤหัสบดีที่ 14 กรกฎาคม 2023 และดำเนินต่อไปในช่วงสุดสัปดาห์ที่ผ่านมา โดยมีจุดสูงสุดที่การโจมตี 1.3 ล้านครั้งกับ 157,000 เว็บไซต์ในวันเสาร์ที่ 16 กรกฎาคม 2023"
Wordfence ระบุว่าผู้โจมตีใช้ช่องโหว่เพื่อติดตั้งปลั๊กอิน WP Console หรือสร้างบัญชีผู้ดูแลระบบบนอุปกรณ์เป้าหมาย
สำหรับระบบเหล่านี้ที่ถูกติดตั้ง WP Console ผู้โจมตีใช้ปลั๊กอินเพื่อเรียกใช้โค้ด PHP ที่ติดตั้งตัวอัปโหลดไฟล์บนเซิร์ฟเวอร์ที่สามารถใช้เป็น backdoor ได้แม้ว่าจะแก้ไขช่องโหว่ไปแล้วก็ตาม
ในการสแกนหาเว็บไซต์ WordPress ที่มีช่องโหว่ ผู้โจมตีจะพยายามเข้าถึงไฟล์ 'https://pronto-core-cdn.prontomarketing.com/2/wp-content/plugins/woocommerce-payments/readme.txt' และหากพบว่ามีช่องโหว่ก็จะใช้ประโยชน์จากช่องโหว่นั้น ๆ
นักวิจัยให้ข้อมูล IP address ที่เกี่ยวข้องกับการโจมตีเหล่านี้ โดยมี IP address 194.169.175.93 ที่พบการสแกนไปมากกว่า 213,212 เว็บไซต์
คำแนะนำ
- ทุกเว็บไซต์ที่ใช้ปลั๊กอินการชำระเงิน WooCommerce แนะนำให้อัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุด
- หากยังไม่ได้ทำการอัปเดต แนะนำให้ผู้ดูแลเว็ปไซต์ทำการตรวจสอบเพื่อหาไฟล์ PHP ที่ผิดปกติ และบัญชีผู้ดูแลระบบที่น่าสงสัย และลบสิ่งที่พบความผิดปกติออก
ที่มา : bleepingcomputer
You must be logged in to post a comment.