ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ Privilege Escalation ที่มีความรุนแรงระดับ Critical ใน WordPress theme ที่ชื่อว่า "Motors" เพื่อเข้าถึงบัญชีผู้ดูแลระบบ และเข้าควบคุมเว็บไซต์
Wordfence ได้ตรวจพบพฤติกรรมที่เป็นอันตรายดังกล่าว ซึ่งเคยออกคำเตือนเมื่อเดือนที่แล้วเกี่ยวกับความรุนแรงของช่องโหว่นี้ ภายใต้หมายเลข CVE-2025-4322 และได้แนะนำให้ผู้ใช้งานรีบอัปเดตโดยทันที
Motors พัฒนาโดย StylemixThemes ซึ่งเป็น theme ของ WordPress ที่ได้รับความนิยมในกลุ่มเว็บไซต์ที่เกี่ยวข้องกับยานยนต์ โดยมียอดขาย 22,460 รายการใน EnvatoMarket และได้รับการสนับสนุนจากผู้ใช้งานเป็นจำนวนมาก
ช่องโหว่ Privilege Escalation ถูกพบเมื่อวันที่ 2 พฤษภาคม 2025 และถูกรายงานครั้งแรกโดย Wordfence เมื่อวันที่ 19 พฤษภาคม ซึ่งช่องโหว่นี้ส่งผลกระทบต่อทุกเวอร์ชัน และเวอร์ชันก่อนหน้า 5.6.67
ช่องโหว่นี้เกิดจากการยืนยันตัวตนของผู้ใช้งานที่ไม่ถูกต้องในขั้นตอนการเปลี่ยนรหัสผ่าน ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเปลี่ยนรหัสผ่านผู้ดูแลระบบได้ตามต้องการ
StylemixThemes ได้ปล่อย Motors เวอร์ชัน 5.6.68 ซึ่งแก้ไขช่องโหว่ CVE-2025-4322 เมื่อวันที่ 14 พฤษภาคม 2025 แต่มีผู้ใช้งานจำนวนมากที่ยังไม่ได้ทำการอัปเดต จนกระทั่งถึงวันที่ Wordfence เปิดเผยข้อมูล ทำให้ผู้ใช้งานเหล่านั้นตกอยู่ในความเสี่ยงสูงที่จะถูกโจมตี
จากรายงานล่าสุดของ Wordfence ยืนยันว่า การโจมตีได้เริ่มขึ้นในวันที่ 20 พฤษภาคม เพียงหนึ่งวันหลังจากที่ Wordfence เปิดเผยรายละเอียดช่องโหว่ต่อสาธารณะ และตรวจพบการโจมตีจำนวนมากภายในวันที่ 7 มิถุนายน 2025 โดย Wordfence รายงานว่าได้ทำการบล็อกการพยายามโจมตีไปแล้ว 23,100 ครั้ง ที่มุ่งเป้าไปยังลูกค้าของตนเอง
กระบวนการโจมตี และสัญญาณการโจมตี
ช่องโหว่ดังกล่าวอยู่ใน widget "Login Register" ของ Motors theme ซึ่งรวมถึงฟังก์ชันกู้คืนรหัสผ่าน
การโจมตีเริ่มจาก ผู้โจมตีจะค้นหา URL ที่มีการใช้งาน widget นี้ โดยการสุ่มตรวจสอบ Path เช่น /login-register, /account, /reset-password, /signin ฯลฯ โดยจะส่ง POST requests ที่ออกแบบมาโดยเฉพาะจนกว่าจะเจอ URL ที่ใช้งาน widget นี้อยู่จริง
ใน POST requests จะมีค่าที่เป็น UTF-8 ที่ไม่ถูกต้องใส่มาในฟิลด์ 'hash_check' ซึ่งจะทำให้ระบบเปรียบเทียบค่า hash ผิดพลาด และจะมีการรีเซ็ตรหัสผ่านได้แม้ข้อมูลจะไม่ถูกต้อง
เนื้อหาของ POST ประกอบด้วยค่า 'stm_new_password' ที่จะรีเซ็ตรหัสผ่านผู้ใช้ โดยกำหนดเป้าหมายไปที่ User ID ที่มักจะเป็นบัญชีผู้ดูแลระบบ
รหัสผ่านที่ผู้โจมตีตั้งไว้ซึ่งถูกพบในการโจมตีจนถึงตอนนี้ ได้แก่
- Testtest123!@#
- rzkkd$SP3znjrn
- Kurd@Kurd12123
- owm9cpXHAZTk
- db250WJUNEiG
เมื่อได้รับสิทธิ์การเข้าถึงแล้ว ผู้โจมตีจะเข้าสู่ระบบ WordPress dashboard ในฐานะผู้ดูแลระบบ และจะทำการสร้างบัญชีผู้ดูแลระบบใหม่ เพื่อใช้ในการเข้าถึงระบบอย่างถาวร
การที่บัญชีผู้ใช้งานใหม่ถูกสร้างขึ้นอย่างกะทันหันร่วมกับบัญชีผู้ดูแลระบบที่มีการ locked out (รหัสผ่านใช้งานไม่ได้อีกต่อไป) อาจเป็นสัญญาณของการโจมตีที่ใช้ช่องโหว่ CVE-2025-4322
Wordfence ยังได้ระบุ IP addresses หลายรายการที่ใช้ในการโจมตีเหล่านี้ในรายงาน ซึ่งแนะนำให้เจ้าของเว็บไซต์ WordPress เพิ่ม IP เหล่านี้เข้าไปใน block list เพื่อป้องกันการโจมตี
IOC
- 192.210.243.217
- 123.253.111.178
- 217.142.21.233
- 8.217.154.123
- 47.243.115.199
- 159.89.192.91
- 169.150.243.135
- 2404:a3c0:7::98c6:24ff:fe00:3e0
- 195.82.147.118
- 217.142.21.2
ที่มา : bleepingcomputer
You must be logged in to post a comment.