ผู้โจมตีได้เริ่มทำการโจมตีโดยใช้ช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ LiteSpeed Cache ซึ่งเป็นปลั๊กอินของ WordPress ที่ใช้สำหรับการเร่ง response times เพียงหนึ่งวันหลังจากที่รายละเอียดทางเทคนิคถูกเปิดเผย
ช่องโหว่หมายเลข CVE-2024-28000 เป็นช่องโหว่เกี่ยวกับการกำหนดสิทธิ์ ที่อนุญาตให้สามารถเพิ่มสิทธิ์ได้โดยไม่ต้องมีการ authentication ในปลั๊กอิน WordPress ส่งผลกระทบกับทุกเวอร์ชันจนถึงเวอร์ชั่น 6.3.0.1
ช่องโหว่นี้เกิดจากการตรวจสอบ hash บนฟีเจอร์จำลองผู้ใช้ของปลั๊กอิน ซึ่งผู้โจมตีจะสามารถทำการโจมตีแบบ brute-force ค่าแฮชเพื่อสร้างบัญชีปลอมผู้ดูแลระบบขึ้นมา
โดยช่องโหว่ดังกล่าวอาจนำไปสู่การโดนเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบทั้งหมด จากนั้นจะถูกติดตั้ง malicious plugins และเปลี่ยนแปลงการตั้งค่าที่สำคัญ รวมไปถึงเปลี่ยนเส้นทางการเข้าชมไปยังเว็บไซต์ที่เป็นอันตราย และขโมยข้อมูลผู้ใช้งาน
Rafie Muhammad จาก Patchstack ได้แชร์รายละเอียดเกี่ยวกับการเริ่มต้นการสร้าง Hash แสดงวิธีการใช้งานเพื่อยกระดับสิทธิ์ จากนั้นจะมีการสร้างบัญชีผู้ดูแลระบบใหม่ผ่าน REST API
วิธีของ Muhammad แสดงให้เห็นว่าการโจมตีแบบ brute force ที่ทดสอบค่า Hash ความปลอดภัยทั้งหมด 1 ล้านค่า โดยการส่งคำขอ 3 ครั้งต่อวินาที อาจสามารถเข้าถึงเว็บไซต์ได้ด้วยการใช้ ID ผู้ใช้ใดก็ได้ในช่วงเวลาตั้งแต่ไม่กี่ชั่วโมงไปจนถึงสูงสุดหนึ่งสัปดาห์
ปัจจุบันพบว่ามีเว็บไซต์กว่า 5 ล้านเว็บที่ใช้ LiteSpeed Cache แต่มีเพียง 30% เท่านั้นที่ใช้ปลั๊กอินเวอร์ชันปลอดภัย ส่งผลให้เว็บไซต์ที่เสี่ยงต่อการโจมตีมีจำนวนหลายล้านเว็บไซต์
บริษัท Wordfence ซึ่งเป็นบริษัทด้านความปลอดภัยของ WordPress รายงานว่า ได้ตรวจจับ และบล็อกการโจมตีที่โจมตีผ่านช่องโหว่ CVE-2024-28000 ได้มากกว่า 48,500 ครั้งในช่วง 24 ชั่วโมงที่ผ่านมา ซึ่งสะท้อนถึงพฤติกรรมการโจมตีจำนวนมากจากโหว่ดังกล่าว
เมื่อวันที่ 21 สิงหาคม 2024 Chloe Charmberland จาก Wordfence ได้แจ้งเตือนเกี่ยวกับสถานการณ์นี้โดยระบุว่าช่องโหว่นี้จะถูกนำไปใช้โจมตีอย่างจริงจังในเร็ว ๆ นี้
ครั้งนี้เป็นครั้งที่สองในปีนี้ที่แฮ็กเกอร์โจมตี LiteSpeed Cache โดยในเดือนพฤษภาคม ผู้โจมตีใช้ช่องโหว่ cross-site scripting flaw (CVE-2023-40000) เพื่อสร้างบัญชีผู้ดูแลระบบปลอม และเข้าควบคุมเว็บไซต์ที่มีช่องโหว่
ในเวลานั้น WPScan รายงานว่าผู้โจมตีเริ่มสแกนหาเป้าหมายในเดือนเมษายน โดยตรวจพบการสแกนมากกว่า 1.2 ล้านครั้งจากที่อยู่ IP เดียว
คำแนะนำ ให้ผู้ใช้ LiteSpeed Cache อัปเกรดเป็นเวอร์ชันล่าสุด ซึ่งคือเวอร์ชั่น 6.4.1 โดยเร็วที่สุด หรือถอนการติดตั้งปลั๊กอินจากเว็บไซต์
ที่มา : bleepingcomputer
You must be logged in to post a comment.