กลุ่ม Hackers ทำการโจมตีเป้าหมายโดยการมุ่งเป้าไปที่ช่องโหว่ปลั๊กอิน WP Automatic ซึ่งเป็นช่องโหว่ที่มีความรุนแรงในระดับ Critical โดยทำการสร้างบัญชีผู้ใช้ที่มีสิทธิ์สูง และวาง backdoors ไว้เพื่อการเข้าถึงในระยะยาว
ปัจจุบัน WP Automatic มีการติดตั้งบนเว็บไซต์มากกว่า 30,000 เว็บไซต์ ซึ่ง WP Automatic ช่วยทำให้ผู้ดูแลระบบสามารถนำเข้าเนื้อหา (เช่น ข้อความ รูปภาพ วิดีโอ) จากแหล่งออนไลน์ต่าง ๆ มาเผยแพร่บนเว็บไซต์ WordPress ของตนได้โดยอัตโนมัติ
โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-27956 และได้รับคะแนน CVSS 9.9/10
โดยนักวิจัยของ PatchStack เปิดเผยช่องโหว่นี้เมื่อวันที่ 13 มีนาคม ที่ผ่านมา และอธิบายว่าเป็นช่องโหว่ SQL injection ที่ส่งผลกระทบต่อ WP Automatic เวอร์ชันก่อน 3.9.2.0
ช่องโหว่เกิดจากการตรวจสอบสิทธิ์ผู้ใช้งานบนปลั๊กอิน โดยสามารถข้ามขั้นตอนดังกล่าวเพื่อส่งคำสั่ง SQL ไปยังฐานข้อมูลของเว็บไซต์ได้ ซึ่งทาง Hacker จะใช้คำสั่งที่สร้างขึ้นมาเป็นพิเศษเพื่อสร้างบัญชีผู้ดูแลระบบบนเว็บไซต์เป้าหมาย
Hacker พยายามโจมตีมากกว่า 5.5 ล้านครั้ง
PatchStack ระบุถึงการโจมตีที่ถูกบันทึกไว้ในวันที่ 31 มีนาคม โดยเครื่องมือ WPScan ได้พบการโจมตีผ่านช่องโหว่นี้ไปแล้วมากกว่า 5.5 ล้านครั้ง
WPScan รายงานว่าหลังจากผู้โจมตีได้รับสิทธิ์การเข้าถึงของผู้ดูแลระบบเพื่อเข้าสู่เว็บไซต์เป้าหมายได้แล้ว ผู้โจมตีจะทำการสร้าง backdoors โดยใช้ Code ที่ซับซ้อนเพื่อทำให้ตรวจจับได้ยากขึ้น
เพื่อป้องกันไม่ให้ Hacker รายอื่นโจมตีเว็บไซต์โดยใช้ประโยชน์จากช่องโหว่เดียวกัน และเพื่อหลีกเลี่ยงการตรวจจับ Hacker จึงเปลี่ยนชื่อไฟล์ที่มีช่องโหว่เป็น “csv.php”
เมื่อกลุ่ม Hacker สามารถเข้าควบคุมเว็บไซต์ได้แล้ว จะทำการติดตั้งปลั๊กอินเพิ่มเติมที่อนุญาตให้อัปโหลดไฟล์ และแก้ไขโค้ดได้
ผู้ดูแลระบบสามารถตรวจสอบได้ว่า Hacker เข้ายึดเว็บไซต์ของตนไปแล้วหรือไม่ โดยการค้นหาบัญชีผู้ดูแลระบบที่ขึ้นต้นด้วย "xtw" และไฟล์ชื่อ web.php และ index.php ซึ่งเป็น backdoors ที่ฝังอยู่ในแคมเปญล่าสุด
เพื่อลดความเสี่ยงของการถูกโจมตี นักวิจัยแนะนำให้ผู้ดูแลเว็บไซต์ WordPress อัปเดตปลั๊กอิน WP Automatic เป็นเวอร์ชัน 3.92.1 หรือใหม่กว่า
WPScan แนะนำให้เจ้าของเว็บไซต์ทำการสำรองข้อมูลของเว็บไซต์อยู่เป็นประจำ เพื่อให้สามารถนำข้อมูลสำรองที่ปลอดภัยมาใช้ได้อย่างรวดเร็วในกรณีที่เกิดปัญหาขึ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.