ผู้โจมตีกำลังมุ่งเป้าโจมตีช่องโหว่ระดับ Critical ใน JobMonster WordPress theme ซึ่งทำให้สามารถยึดบัญชีผู้ดูแลระบบได้ภายใต้เงื่อนไขบางประการ
ปฏิบัติการนี้ถูกตรวจพบโดย Wordfence ซึ่งเป็นบริษัทด้านความปลอดภัยของ WordPress หลังจากที่ได้บล็อกความพยายามในการโจมตีหลายครั้งที่มุ่งเป้าไปยังลูกค้าของตนในช่วง 24 ชั่วโมงที่ผ่านมา
JobMonster สร้างโดย NooThemes เป็น WordPress theme ระดับ Premium ที่ใช้งานโดยเว็บไซต์ประกาศรับสมัครงาน, portal รับสมัคร/จ้างงาน, เครื่องมือค้นหาผู้สมัครงาน และอื่น ๆ โดย theme นี้มียอดขายมากกว่า 5,500 ครั้งบน Envato
ช่องโหว่ที่ถูกโจมตีนี้มีหมายเลข CVE-2025-5397 และมีความรุนแรงระดับ Critical โดยมี CVSS 9.8 โดยเป็นช่องโหว่ Authentication Bypass ที่ส่งผลกระทบต่อ theme ทุกเวอร์ชันจนถึง 4.8.1
คำอธิบายของช่องโหว่ระบุว่า “ช่องโหว่นี้เกิดจากฟังก์ชัน check_login() ที่ไม่สามารถตรวจสอบข้อมูล identity ของผู้ใช้ได้อย่างถูกต้องก่อนที่จะยืนยันตัวตนได้สำเร็จ”
“ทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ bypass การยืนยันตัวตนตามมาตรฐาน และเข้าถึงบัญชีผู้ดูแลระบบได้”
การใช้ประโยชน์จากช่องโหว่ CVE-2025-5397 จำเป็นต้องเปิดใช้งานฟีเจอร์ Social login บนเว็บไซต์ที่ใช้ theme มิฉะนั้นจะไม่เกิดผลกระทบใด ๆ
Social login เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้ลงชื่อเข้าใช้เว็บไซต์โดยใช้บัญชีโซเชียลมีเดียที่มีอยู่ เช่น “Sign in with Google,” “Login with Facebook,” และ “Continue with LinkedIn”
JobMonster เชื่อถือข้อมูลการเข้าสู่ระบบจากภายนอกโดยไม่ตรวจสอบอย่างถูกต้อง ทำให้ผู้โจมตีสามารถปลอมแปลงการเข้าถึงสิทธิ์ผู้ดูแลระบบได้โดยไม่ต้องมีข้อมูลยืนยันตัวตนที่ถูกต้อง
โดยผู้โจมตีจำเป็นต้องทราบชื่อผู้ใช้ หรืออีเมลของบัญชีผู้ดูแลระบบที่เป็นเป้าหมายด้วย
CVE-2025-5397 ได้รับการแก้ไขแล้วใน JobMonster เวอร์ชัน 4.8.2 ซึ่งเป็นเวอร์ชันล่าสุดในปัจจุบัน ดังนั้นขอแนะนำให้ผู้ใช้งานเปลี่ยนไปใช้เวอร์ชันที่ได้รับการแก้ไขแล้วทันที
หากไม่สามารถดำเนินการได้ ให้พิจารณาการลดผลกระทบด้วยการปิดใช้งานฟีเจอร์ social login บนเว็บไซต์ที่ได้รับผลกระทบ
นอกจากนี้ยังแนะนำให้เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยสำหรับบัญชีผู้ดูแลระบบทั้งหมด, เปลี่ยนข้อมูลยืนยันตัวตน และตรวจสอบ access logs เพื่อหาพฤติกรรมที่น่าสงสัย
WordPress theme กลายเป็นศูนย์กลางของการโจมตีในช่วงหลายเดือนที่ผ่านมา
เมื่อสัปดาห์ที่แล้ว Wordfence ได้รายงานเกี่ยวกับการโจมตี ซึ่งมุ่งเป้าไปที่ Freeio premium theme โดยใช้ช่องโหว่ CVE-2025-11533 ซึ่งเป็นช่องโหว่ Privilege Escalation ระดับ Critical
ในช่วงต้นเดือนตุลาคม ผู้โจมตีได้โจมตีโดยใช้ช่องโหว่ CVE-2025-5947 ซึ่งเป็นช่องโหว่ Authentication Bypass ใน Service Finder ของ WordPress theme ทำให้พวกเขาสามารถเข้าสู่ระบบในฐานะผู้ดูแลระบบได้
ในเดือนกรกฎาคม 2025 มีรายงานว่าแฮ็กเกอร์มุ่งเป้าไปที่ WordPress theme ที่ชื่อ 'Alone' เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล และเข้าควบคุมเว็บไซต์ทั้งหมด โดยในขณะนั้น Wordfence ได้บล็อกความพยายามโจมตีไปแล้วกว่า 120,000 ครั้ง
WordPress plugins และ themes จำเป็นต้องได้รับการอัปเดตอย่างสม่ำเสมอ เพื่อให้แน่ใจว่ามีการแก้ไขความปลอดภัยล่าสุดบนเว็บไซต์ การชะลอการแพตช์ จะเปิดโอกาสให้ผู้ไม่หวังดีโจมตีได้สำเร็จ ซึ่งบางครั้งอาจเกิดขึ้นแม้เวลาจะผ่านไปถึงหนึ่งปีเต็ม
ที่มา : bleepingcomputer
You must be logged in to post a comment.