พบการโจมตีช่องโหว่ระดับ Critical ในปลั๊กอินบน WordPress ที่ชื่อว่า "Better Search Replace" โดยนักวิจัยสังเกตเห็นการพยายามโจมตีหลายพันครั้งในช่วง 24 ชั่วโมงที่ผ่านมา
ปลั๊กอิน Better Search Replace สำหรับ WordPress เป็นปลั๊กอินยอดนิยมที่มีผู้ติดตั้งใช้งานเกิน 1 ล้านเว็บไซต์ โดยมีจุดเด่นคือ ช่วยในกระบวนการค้นหา และแทนที่ข้อความต่าง ๆ ภายในฐานข้อมูลของเว็บไซต์
ผู้ดูแลระบบสามารถใช้ปลั๊กอินนี้ในการค้นหา และแทนที่ข้อความเฉพาะในฐานข้อมูล หรือจัดการข้อมูลแบบ serialized นอกจากนี้ยังมีตัวเลือก selective replacement ที่รองรับ WordPress Multisite และรวมถึงตัวเลือก "dry run" เพื่อให้แน่ใจว่าทุกอย่างทำงานได้อย่างราบรื่น
ผู้พัฒนาปลั๊กอิน WP Engine ได้ออกเวอร์ชัน 1.4.5 เมื่อสัปดาห์ที่ผ่านมาเพื่อแก้ไขช่องโหว่ PHP object injection ระดับ Critical ซึ่งมีหมายเลข CVE-2023-6933
โดยช่องโหว่เกิดจากการ Deserializing ข้อมูลที่ไม่น่าเชื่อถือ ส่งผลให้ผู้โจมตีสามารถ inject PHP object ลงในเว็บไซต์ได้โดยไม่ต้องผ่านการยืนยันตัวตน หากการโจมตีสำเร็จ อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตราย การเข้าถึงข้อมูลสำคัญ การปรับแต่ง หรือลบไฟล์ รวมถึงการทำให้เกิดสถานะปฏิเสธการให้บริการแบบวนซ้ำไม่สิ้นสุด
คำอธิบายช่องโหว่ในระบบของ Wordfence ระบุว่า Better Search Replace ไม่ได้เป็นช่องโหว่โดยตรง แต่สามารถถูกโจมตีเพื่อเรียกใช้โค้ด ดึงข้อมูลสำคัญ หรือลบไฟล์ได้ หากมีปลั๊กอิน หรือธีมอื่นในไซต์เดียวกันที่มี Property Oriented Programming (POP) chain
ความสามารถในการโจมตีช่องโหว่ PHP object injection มักขึ้นอยู่กับการมีอยู่ของ POP chain ที่เหมาะสม ซึ่งสามารถถูกเรียกใช้งานได้โดยโค้ดที่ถูกฝังเข้ามา เพื่อทำพฤติกรรมที่เป็นอันตราย
โดยแฮ็กเกอร์ไม่รอช้าที่จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าว โดยบริษัทรักษาความปลอดภัยเว็บไซต์บน WordPress อย่าง Wordfence รายงานว่า ได้บล็อกการโจมตีมากกว่า 2,500 ครั้งที่มุ่งเป้าไปที่ CVE-2023-6933 บนเว็บไซต์ของลูกค้าภายใน 24 ชั่วโมงที่ผ่านมา
ช่องโหว่นี้ส่งผลกระทบกับ Better Search Replace ทุกรุ่นก่อนเวอร์ชัน 1.4.5 ซึ่งทางผู้พัฒนาแนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 1.4.5 โดยเร็วที่สุด
ข้อมูลดาวน์โหลดจาก WordPress.org แสดงให้เห็นว่าปลั๊กอิน Better Search Replace มีการดาวน์โหลดเกือบครึ่งล้านครั้งในช่วงสัปดาห์ที่ผ่านมา โดย 81% ของเวอร์ชันที่ใช้งานอยู่นั้นเป็นเวอร์ชัน 1.4 แต่ไม่ชัดเจนเกี่ยวกับเวอร์ชันย่อยอื่น ๆ
อัปเดต 25 มกราคม 2024 : Wordfence ให้ข้อมูลเพิ่มเติมกับ BleepingComputer ว่า ช่วงแรกที่ตรวจพบการโจมตี พวกเขาใช้ rule ที่กว้างเกินไป ส่งผลให้รายงานประกอบไปด้วยช่องโหว่อื่น ๆ ด้วย เช่น CVE-2023-25135 อย่างไรก็ตามก็ยังพบว่าการโจมตีส่วนใหญ่มาจากความพยายามโจมตีช่องโหว่ CVE-2023-6933 เช่นเดิม
ที่มา : bleepingcomputer
You must be logged in to post a comment.