เว็บไซต์ WordPress ประมาณ 6,700 แห่งติดมัลแวร์ Balada Injector หลังจากมีการใช้งาน plug-in 'Popup Builder' ที่มีช่องโหว่ cross-site scripting (XSS) หมายเลข CVE-2023-6000
แคมเปญ Balada Injector ถูกพบมาตั้งแต่ปี 2017 และถูกใช้โจมตีเว็บไซต์ WordPress มากกว่า 1 ล้านเว็บไซต์ในช่วงหกปีที่ผ่านมา โดยในการโจมตีจะมีการฝัง backdoor เพื่อเปลี่ยนเส้นทางจากเว็บไซต์ WordPress ที่ถูกต้อง ไปยังเว็บไซต์ปลอม หรือไปยังเว็บไซต์ที่ถูกควบคุมโดยผู้โจมตี
การโจมตีล่าสุด ผู้โจมตีใช้ช่องโหว่ XSS (Cross-Site Scripting) เพื่อเข้าควบคุม "sgpbWillOpen" ของ Popup Builder และฝังโค้ด JavaScript ที่เป็นอันตรายไว้ หลังจากที่เหยื่อเรียกใช้งาน Popup ผู้ไม่หวังดีจะดำเนินการใช้ JavaScript ทำการปรับเปลี่ยนไฟล์ "wp-blog-header.php"
plug-in 'Popup Builder' เวอร์ชันที่มีช่องโหว่นี้มีการติดตั้งมากกว่า 200,000 ครั้ง ดังนั้นจึงอาจมีการติดมัลแวร์เพิ่มขึ้น
โดยทั่วไป plug-in WordPress ที่เป็นอันตรายมักจะทำการตรวจสอบได้ยาก เนื่องจากเหยื่อส่วนใหญ่ติดตั้งโดยไม่รู้ว่าอาจมีช่องโหว่อยู่ ด้วยระยะเวลาที่ยาวนานกว่าจะพบว่า plug-in มีช่องโหว่โดยไม่มีการอัปเดต จึงทำให้ช่องโหว่ต่าง ๆ มักจะยังไม่ได้รับการแก้ไข ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นได้ เช่นเดียวกับกรณีของ Balada Injector
เพื่อลดผลกระทบ และความเสี่ยง นักวิจัยแนะนำให้ใช้โซลูชัน integrity monitoring ที่สามารติดตามพฤติกรรมของผู้โจมตีบนเว็บไซต์ รวมถึงการใช้โค้ดที่มาจาก third-party ให้น้อยที่สุด และดำเนินการอัปเดตอย่างสม่ำเสมอ เพื่อลดความเสี่ยงที่อาจเกิดจากช่องโหว่ต่าง ๆ บนแพลตฟอร์ม WordPress
ที่มา : Darkreading
You must be logged in to post a comment.