WordPress Security (Wordfence) เปิดเผยว่า พบช่องโหว่ Zero-Day จาก Plugin ใน WordPress ที่มีชื่อว่า BackupBuddy กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย โดยช่องโหว่ถูกพบครั้งแรกเมื่อวันที่ 26 สิงหาคม 2565 และมีการพยายามที่จะโจมตีกว่า 5 ล้านครั้งแต่ถูก Block ไว้ได้ทั้งหมด

BackupBuddy เป็น Plugin ที่ช่วยให้ผู้ใช้งานสามารถสำรองข้อมูลทั้งหมดของตัวเองใน WordPress เช่นข้อมูลการติดตั้ง WordPress ธีม เพจ โพสต์ วิดเจ็ต ข้อมูลผู้ใช้ และไฟล์มีเดียเป็นต้น

รายละเอียดของช่องโหว่

ช่องโหว่ Zero-Day BackUpBuddy มีหมายเลข CVE-2022-31474 คะแนน CVSS: 7.5 ซึ่งคาดว่ามีเว็บไซต์ที่ใช้งาน Plugin ดังกล่าวอยู่ประมาณ 140,000 เว็บไซต์

โดยช่องโหว่นี้สามารถทำให้ผู้ไม่หวังดีสามารถดาวน์โหลดไฟล์ได้ตามที่ต้องการ โดยไม่ต้องผ่านการตรวจสอบสิทธิ์จากเว็บไซต์ที่ได้รับผลกระทบ ซึ่งปัญหานี้เกิดจากฟังก์ชันที่เรียกว่า "Local Directory Copy" ที่ออกแบบมาเพื่อจัดเก็บสำเนาข้อมูลสำรองในเครื่อง Wordfence ระบุว่า ช่องโหว่เป็นผลมาจากการใช้งานที่ไม่ปลอดภัย ซึ่งช่วยให้ผู้ไม่หวังดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดาวน์โหลดไฟล์ใด ๆ บนเซิร์ฟเวอร์ก็ได้ตามที่ต้องการ

นอกจากนี้ยังมีการรวบรวม IP ที่มีการการโจมตีสูงสุด 10 อันดับแรกตามรายการดังนี้

195.178.120.89 with 1,960,065 attacks blocked
51.142.90.255 with 482,604 attacks blocked
51.142.185.212 with 366770 attacks blocked
52.229.102.181 with 344604 attacks blocked
20.10.168.93 with 341,309 attacks blocked
20.91.192.253 with 320,187 attacks blocked
23.100.57.101 with 303,844 attacks blocked
20.38.8.68 with 302,136 attacks blocked
20.229.10.195 with 277,545 attacks blocked
20.108.248.76 with 211,924 attacks blocked

รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ยังไม่มีการเปิดเผย เนื่องจากการการโจมตีอาจจะเกิดขึ้นเป็นวงกว้าง และเนื่องจากช่องโหว่ดังกล่าวอาจจะสามารถโจมตีได้ง่าย

โดยช่องโหว่อาจทำให้ผู้ไม่หวังดีสามารถเข้าดูเนื้อหาของไฟล์ใด ๆ ก็ตามบนเซิร์ฟเวอร์ที่สามารถอ่านได้จาก WordPress รวมไปถึงไฟล์ที่มีความสำคัญ ซึ่งพบว่าข้อมูลจากการโจมตีส่วนใหญ่เป็นการพยายามเข้าถึงไฟล์ตามรายการด้านล่าง

/etc/passwd
/wp-config.