แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยระดับ critical ใน WordPress plugin ชื่อ Burst Statistics เพื่อเข้าถึงสิทธิ์ระดับผู้ดูแลระบบของเว็บไซต์
Burst Statistics เป็น plugin สำหรับวิเคราะห์ข้อมูลเว็บไซต์ ที่เน้นเรื่องความเป็นส่วนตัวของผู้ใช้งาน ปัจจุบันมีเว็บไซต์ที่เปิดใช้งาน plugin นี้อยู่กว่า 200,000 เว็บไซต์ และถูกทำตลาดในฐานะทางเลือกที่ใช้ทรัพยากรเครื่องน้อยกว่า Google Analytics
ช่องโหว่นี้มีหมายเลข CVE-2026-8181 ซึ่งถูกพบเมื่อวันที่ 23 เมษายนที่ผ่านมาในเวอร์ชัน 3.4.0 ของ plugin และยังคงพบโค้ดที่มีช่องโหว่นี้ในเวอร์ชันถัดมาคือ 3.4.1 ด้วย
จากข้อมูลของ Wordfence ซึ่งเป็นผู้พบช่องโหว่ CVE-2026-8181 เมื่อวันที่ 8 พฤษภาคม ระบุว่า ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถสวมรอยเป็นผู้ดูแลระบบที่มีตัวตนอยู่จริงในระบบได้ ในระหว่างที่มีการส่ง REST API requests และยังสามารถสร้างบัญชีผู้ดูแลระบบปลอมได้อีกด้วย
Wordfence อธิบายว่า “ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาต ซึ่งทราบ username ผู้ดูแลระบบที่ถูกต้อง สามารถสวมรอยเป็นผู้ดูแลระบบคนนั้นได้อย่างสมบูรณ์แบบในทุก ๆ request ที่ส่งไปยัง REST API ซึ่งรวมถึง endpoints หลักของ WordPress เช่น /wp-json/wp/v2/users โดยการป้อนรหัสผ่านที่ไม่ถูกต้องในส่วน Authentication header แบบพื้นฐาน”
“ในสถานการณ์ที่ร้ายแรงที่สุด ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ดูแลระบบขึ้นมาใหม่ได้ โดยไม่จำเป็นต้องผ่านการยืนยันตัวตนใด ๆ”
สาเหตุหลักของช่องโหว่ เกิดจากการ interpretation ฟังก์ชัน wp_authenticate_application_password() ผิดพลาด โดยเฉพาะอย่างยิ่ง ระบบมองว่าสถานะ WP_Error เป็นสัญญาณของการยืนยันตัวตน
อย่างไรก็ตาม นักวิจัยอธิบายเพิ่มเติมว่า WordPress อาจส่งคืนค่า null กลับมาในบางกรณี ซึ่งจะถูกเข้าใจผิดว่าเป็น request ที่ได้รับการยืนยันตัวตน
ส่งผลให้โค้ดจะเรียกใช้คำสั่ง wp_set_current_user() พร้อมกับใส่ Username ที่ผู้โจมตีป้อนเข้ามา ทำให้สามารถสวมรอยเป็น User รายนั้นได้อย่างสมบูรณ์แบบตลอดระยะเวลาที่มีการส่ง request ไปยัง REST API
Admin Usernames อาจถูกเปิดเผยอยู่ตามโพสต์บนบล็อก, กล่องความคิดเห็น หรือแม้กระทั่งใน Public API requests แต่ถึงอย่างนั้น แต่ผู้โจมตียังสามารถใช้วิธีสุ่มเดาข้อมูลซ้ำ ๆ แบบ Brute-force เพื่อเดาชื่อผู้ใช้เหล่านั้นได้
การได้สิทธิ์เข้าถึงในระดับผู้ดูแลระบบจะช่วยให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูล, ฝัง Backdoors ทิ้งไว้, เปลี่ยนเส้นทางผู้เข้าชมเว็บไปยังเว็บไซต์อันตราย, แพร่กระจายมัลแวร์, สร้างผู้ดูแลระบบปลอม และอื่น ๆ อีกมากมาย
แม้ว่า Wordfence จะแจ้งเตือนในโพสต์ว่า "คาดว่าช่องโหว่นี้จะตกเป็นเป้าหมายของผู้โจมตีอย่างแน่นอน ดังนั้น การอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุดจึงเป็นเรื่องที่สำคัญมาก" แต่เครื่องมือติดตามของพวกเขากลับแสดงให้เห็นว่า กิจกรรมการโจมตีจากกลุ่มแฮ็กเกอร์ได้เริ่มต้นขึ้นแล้ว
ข้อมูลจากแพลตฟอร์มเดียวกันระบุว่า บริษัทสามารถบล็อกการโจมตีที่มุ่งเป้ามายังช่องโหว่ CVE-2026-8181 ได้มากกว่า 7,400 ครั้งภายในเวลา 24 ชั่วโมงที่ผ่านมา ซึ่งแสดงให้เห็นว่านี่คือภัยคุกคามที่มีความรุนแรง และน่ากังวลอย่างยิ่ง
ขอแนะนำให้ผู้ใช้ Burst Statistics plugin อัปเกรดเป็นเวอร์ชันที่แก้ไขช่องโหว่ เวอร์ชัน 3.4.2 ซึ่งปล่อยออกมาเมื่อวันที่ 12 พฤษภาคม 2026 หรือปิดใช้งาน plugin บนเว็บไซต์ไปก่อน
สถิติจาก WordPress.org เผยว่า Burst Statistics plugin มียอดดาวน์โหลดไปแล้วราว 85,000 ครั้ง นับตั้งแต่เวอร์ชัน 3.4.2 เปิดตัว ซึ่งหากสมมติว่ายอดดาวน์โหลดทั้งหมดนั้นเป็นการอัปเดตเป็นเวอร์ชันล่าสุด ก็หมายความว่ายังคงมีเว็บไซต์อีกประมาณ 115,000 แห่งที่ตกอยู่ในความเสี่ยงต่อการโดนแฮ็กเกอร์เข้าถึงสิทธิ์ผู้ดูแลระบบได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.