แฮ็กเกอร์กำลังดำเนินการโจมตีระบบจากช่องโหว่ระดับ Critical (CVE-2026-3300) ในปลั๊กอิน Everest Forms Pro ซึ่งอาจทำให้พวกเขาสามารถเข้าควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์
ช่องโหว่ด้านความปลอดภัยนี้ส่งผลกระทบต่อปลั๊กอินเวอร์ชัน 1.9.12 และเวอร์ชันก่อนหน้า โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อรันโค้ดคำสั่งใด ๆ ก็ได้บนเซิร์ฟเวอร์โดยไม่ต้องผ่านขั้นตอนการยืนยันตัวตน
Everest Forms Pro เป็น commercial add-on สำหรับปลั๊กอินในการสร้างแบบฟอร์มบน WordPress ที่ชื่อ Everest Forms โดยถูกนำมาใช้เพื่อสร้างแบบฟอร์มการติดต่อ, แบบฟอร์มลงทะเบียน, แบบฟอร์มชำระเงิน และแบบฟอร์มอื่น ๆ ตามที่ต้องการ
ช่องโหว่ CVE-2026-3300 นี้ซ่อนอยู่ในฟีเจอร์ Complex Calculation ของปลั๊กอิน ซึ่งทำหน้าที่รับค่าที่ถูกส่งเข้ามาผ่าน form fields แล้วนำไปแทรกไว้ใน PHP code string จากนั้นระบบจะทำการรันโค้ดผลลัพธ์ดังกล่าวโดยใช้ฟังก์ชัน ‘eval()’ ของ PHP
แม้ว่าข้อมูลที่ผู้ใช้กรอกเข้ามาจะถูกส่งผ่านฟังก์ชัน ‘sanitize_text_field()’ ก็ตาม แต่ฟังก์ชันดังกล่าวไม่ได้ทำการ escape เครื่องหมายอัญประกาศเดี่ยว (') หรืออักขระอื่น ๆ ที่ส่งผลต่อโครงสร้าง Syntax ของ PHP
ส่งผลให้ผู้โจมตีสามารถปิดชุดคำสั่ง string เดิม แล้วทำการแทรกโค้ด PHP ใด ๆ ก็ได้ตามที่ต้องการ และใส่เครื่องหมายคอมเมนต์ทับโค้ดส่วนที่เหลือที่ระบบสร้างขึ้น เพื่อให้สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้สำเร็จ
ข้อมูล Telemetry จากระบบ firewall และ malware scanner ของ Wordfence สำหรับ WordPress แสดงให้เห็นว่า ขณะนี้ช่องโหว่ดังกล่าวมีการถูกนำไปใช้ในการโจมตีจริง เพื่อสร้างบัญชีผู้ดูแลระบบที่ไม่ได้รับอนุญาตขึ้นมา
รายงานจาก Wordfence ระบุว่า "ผู้โจมตีจะส่งค่าผ่าน text field โดยเริ่มต้นด้วยเครื่องหมายอัญประกาศเดี่ยว (') เพื่อปิดชุดคำสั่ง string ที่ครอบอยู่ ตามด้วยคำสั่ง PHP ที่เรียกใช้งานฟังก์ชัน wp_insert_user() เพื่อสร้างบัญชีผู้ดูแลระบบใหม่โดยใช้ชื่อผู้ใช้ว่า 'diksimarina'"
"ส่วนเครื่องหมายคอมเมนต์แบบ // ที่ต่อท้ายสุด จะทำให้โค้ด PHP ที่ระบบสร้างขึ้นในส่วนที่เหลือ (รวมถึงเครื่องหมายอัญประกาศปิด) ถูกระบบมองว่าเป็นเพียงแค่คอมเมนต์ ซึ่งช่วยป้องกันไม่ให้เกิด syntax error"
"เมื่อระบบทำการประมวลผลแบบฟอร์ม และคำนวณผลลัพธ์ โค้ด PHP ที่ถูกแทรกเข้ามาก็จะถูกรันการทำงาน และบัญชีผู้ดูแลระบบที่เป็นอันตรายดังกล่าวก็จะถูกสร้างขึ้นในที่สุด"
สิทธิ์การเข้าถึงระดับผู้ดูแลระบบจะทำให้ผู้โจมตีสามารถดำเนินการที่มีความเสี่ยงสูงบนเว็บไซต์ที่ถูกโจมตีระบบได้ ซึ่งรวมถึงการดัดแปลงเนื้อหา, การติดตั้งปลั๊กอิน และธีม, การฝัง backdoors และ webshells ตลอดจนการเข้าถึงฐานข้อมูลส่วนบุคคล
นักวิจัยด้านความปลอดภัยที่ชื่อ h0xilo ได้รายงานช่องโหว่ CVE-2026-3300 ผ่านทาง Wordfence เมื่อเดือนกุมภาพันธ์ที่ผ่านมา และต่อมาในวันที่ 18 มีนาคม ทางนักพัฒนาปลั๊กอิน Everest Forms ก็ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว
ข้อมูลจาก Wordfence ระบุว่า การเริ่มนำช่องโหว่นี้ไปใช้ในการโจมตีจริงเกิดขึ้นเมื่อวันที่ 13 เมษายน โดยระบบ firewall สามารถบล็อกความพยายามในการโจมตีได้มากกว่า 29,300 ครั้ง
Wordfence ระบุว่า ความพยายามในการโจมตีส่วนใหญ่มีต้นทางมาจาก IP addresses 2 ชุดหลัก ได้แก่ 202[.]56[.]2[.]126 และ 209[.]146[.]60[.]26 พร้อมทั้งแนะนำให้ฝ่ายป้องกันระบบทำการบล็อกไอพีเหล่านี้
อย่างไรก็ตาม ในรายงานของ Wordfence ยังได้ระบุ IP addresses ที่ใช้ในการโจมตีเพิ่มเติมอีกหลายรายการ เพื่อใช้เป็นข้อมูล Indicators of Compromise (IOCs)
นอกจากนี้ ผู้ดูแลเว็บไซต์ควรดำเนินการตรวจสอบ log files การทำงาน และบัญชีผู้ดูแลระบบในระบบของตน เพื่อค้นหากิจกรรมที่น่าสงสัย โดยเฉพาะรายการที่มีข้อความ หรือชุดตัวอักษรคำว่า "diksimarina" ปรากฏอยู่
ที่มา : Bleepingcomputer