ช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อปลั๊กอิน OttoKit (เดิมชื่อ SureTriggers) ของ WordPress กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง
ช่องโหว่นี้มีหมายเลข CVE-2025-27007 (คะแนน CVSS: 9.8) เป็นช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) ที่ส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันก่อนหน้า และรวมถึงเวอร์ชัน 1.0.82
Wordfence ระบุว่า "ช่องโหว่ดังกล่าวเกิดจากฟังก์ชัน create_wp_connection() ที่ขาดการตรวจสอบสิทธิ์ และการยืนยันตัวตนของผู้ใช้ที่ไม่เพียงพอ ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถสร้างการเชื่อมต่อได้ และในที่สุดก็จะสามารถยกระดับสิทธิ์ของตนได้"
อย่างไรก็ตาม ช่องโหว่นี้สามารถถูกนำไปใช้ในการโจมตีได้เพียงสองสถานการณ์เท่านั้น ได้แก่ :
- เมื่อเว็บไซต์ไม่เคยเปิดใช้งาน หรือใช้รหัสผ่านของแอปพลิเคชันมาก่อน และ OttoKit ก็ไม่เคยเชื่อมต่อกับเว็บไซต์นั้นโดยใช้รหัสผ่านของแอปพลิเคชันมาก่อนเช่นกัน
- เมื่อผู้โจมตีสามารถเข้าถึงเว็บไซต์ได้โดยผ่านการยืนยันตัวตนแล้ว และสามารถสร้างรหัสผ่านของแอปพลิเคชันที่ใช้งานได้
Wordfence เปิดเผยว่า พบพฤติกรรมของผู้ไม่หวังดีที่พยายามใช้ช่องโหว่ดังกล่าวเพื่อเริ่มสร้างการเชื่อมต่อกับเว็บไซต์ และหลังจากนั้นจึงใช้ช่องทางดังกล่าวเพื่อสร้างบัญชีของผู้ใช้ในระดับสิทธิ์เท่ากับผู้ดูแลระบบผ่าน automation/action endpoint.
นอกจากนี้ ความพยายามในการโจมตีเหล่านี้ยังมุ่งเป้าไปที่ช่องโหว่ CVE-2025-3102 (คะแนน CVSS: 8.1) ซึ่งเป็นช่องโหว่อีกรายการหนึ่งในปลั๊กอินเดียวกันที่ถูกนำไปใช้ในการโจมตีจริงตั้งแต่เดือนเมษายนที่ผ่านมา
จากเหตุการณ์ที่เกิดขึ้น มีความเป็นไปได้ว่าผู้ไม่หวังดีอาจจะกำลังสแกนหาการติดตั้ง WordPress ที่อาจมีช่องโหว่จากสองรายการนี้ จากการตรวจสอบพบว่ามีรายการ IP addresses ที่ถูกนำมาใช้โจมตีจากช่องโหว่ดังกล่าว มีดังต่อไปนี้ :
- 2a0b:4141:820:1f4::2
- 41.216.188.205
- 144.91.119.115
- 194.87.29.57
- 196.251.69.118
- 107.189.29.12
- 205.185.123.102
- 198.98.51.24
- 198.98.52.226
- 199.195.248.147
เนื่องจากปลั๊กอินนี้ถูกติดตั้งใช้งานอยู่มากกว่า 100,000 ราย จึงจำเป็นอย่างยิ่งที่ผู้ใช้งานจะต้องรีบอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด (1.0.83) โดยเร็ว
Wordfence ได้ระบุเพิ่มเติมว่า "ผู้ไม่หวังดีอาจเริ่มโจมตีช่องโหว่นี้อย่างจริงจังตั้งแต่วันที่ 2 พฤษภาคม 2025 และจะเริ่มโจมตีมากขึ้นในวันที่ 4 พฤษภาคม 2025 เป็นต้นไป"
ที่มา : thehackernews
You must be logged in to post a comment.