พบช่องโหว่ระดับ Critical ในปลั๊กอินป้องกันสแปมของ WordPress เว็บไซต์กว่า 200,000+ แห่งอาจถูกโจมตี

พบช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการในปลั๊กอิน Spam protection, Anti-Spam และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถติดตั้ง และเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่มีช่องโหว่ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่เหล่านี้มีหมายเลข CVE-2024-10542 และ CVE-2024-10781 มีคะแนน CVSS 9.8 และได้รับการแก้ไขไปแล้วในเวอร์ชัน 6.44 และ 6.45 ที่ได้ปล่อยอัปเดตออกมาในเดือนนี้

ปลั๊กอิน Spam protection, Anti-Spam, FireWall ของ CleanTalk ถูกติดตั้งบนเว็บไซต์ WordPress กว่า 200,000 แห่ง โดยถูกโฆษณาว่าเป็น "ปลั๊กอินสำหรับป้องกันสแปม" ที่สามารถบล็อกความคิดเห็นที่เป็นสแปม, การลงทะเบียน, แบบสำรวจ และอื่น ๆ ได้

ตามรายงานของ Wordfence ช่องโหว่ทั้งสองรายการเป็นช่องโหว่ Authorization Bypass ที่อาจทำให้ผู้โจมตีสามารถติดตั้ง และเปิดใช้งานปลั๊กอินใด ๆ ก็ได้ตามต้องการ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลหากปลั๊กอินที่ถูกเปิดใช้งานนั้นมีช่องโหว่

นักวิจัยด้านความปลอดภัย István Márton อ้างอิงถึงช่องโหว่ CVE-2024-10781 ว่า "ปลั๊กอินนี้มีช่องโหว่ในการติดตั้งโดยไม่ได้รับอนุญาต เนื่องจากไม่มีการตรวจสอบค่า empty ของ 'api_key' value ในฟังก์ชัน 'perform' ในทุกเวอร์ชัน และรวมถึงเวอร์ชัน 6.44"

ในขณะที่ช่องโหว่ CVE-2024-10542 เกิดจาก Authorization Bypass ผ่านการ Reverse DNS Spoofing ในฟังก์ชัน checkWithoutToken()

ไม่ว่าจะใช้วิธีการ Authorization Bypass แบบใด การโจมตีที่สำเร็จอาจทำให้ผู้โจมตีสามารถติดตั้ง, เปิดใช้งาน, ปิดใช้งาน หรือแม้แต่ถอนการติดตั้งปลั๊กอินได้

แนะนำให้ผู้ใช้ปลั๊กอินเหล่านี้ ตรวจสอบให้แน่ใจว่าเว็บไซต์ของตนได้รับการอัปเดตเป็นเวอร์ชันล่าสุดแล้ว เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น

เหตุการณ์นี้เกิดขึ้นพร้อมกับที่ Sucuri ได้แจ้งเตือนเกี่ยวกับแคมเปญหลายรายการที่ใช้ประโยชน์จากช่องโหว่ของเว็บไซต์ WordPress ที่ถูกโจมตี เพื่อติดตั้งโค้ดที่เป็นอันตราย ที่มีจุดประสงค์ในการเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ไปยังเว็บไซต์อื่นผ่านโฆษณาปลอม, ขโมยข้อมูลการเข้าสู่ระบบ, รวมถึงปล่อยมัลแวร์ที่สามารถดักจับรหัสผ่านของผู้ดูแลระบบ, เปลี่ยนเส้นทางไปยังเว็บไซต์หลอกลวง VexTrio Viper และรันโค้ด PHP ที่เป็นอันตรายบนเซิร์ฟเวอร์ได้

ที่มา : thehackernews