แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่พึ่งจะได้รับการแก้ไขไปแล้วเมื่อเร็ว ๆ นี้ ในปลั๊กอิน Advanced Custom Fields ของ WordPress เพียงแค่ประมาณ 24 ชั่วโมงหลังจากที่มีการเผยแพร่ PoC ออกสู่สาธารณะ

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-30777 ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) ที่มีระดับความรุนแรงสูง ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลที่มีความสำคัญ และเพิ่มสิทธิ์ในเว็บไซต์ WordPress ที่มีช่องโหว่ได้

ช่องโหว่ดังกล่าวถูกพบโดย Patchstack บริษัทรักษาความปลอดภัยของเว็บไซต์เมื่อวันที่ 2 พฤษภาคม 2023 และมีการเผยแพร่ PoC ออกมาในวันที่ 5 พฤษภาคม 2023 หนึ่งวันหลังจากนั้น ผู้ให้บริการปลั๊กอินดังกล่าวได้มีการอัปเดตแพตซ์ด้านความปลอดภัยด้วยเวอร์ชัน 6.1.6

รายงานจาก Akamai Security Intelligence Group (SIG) พบว่า ตั้งแต่วันที่ 6 พฤษภาคม 2023 Akamai สังเกตเห็นพฤติกรรมการสแกน และการใช้ประโยชน์จากช่องโหว่โดยใช้โค้ดตัวอย่างที่ให้ไว้ในบทความของ Patchstack

Akamai SIG วิเคราะห์ข้อมูลการโจมตีแบบ XSS และระบุได้ว่าพบการโจมตีที่เริ่มต้นภายใน 24 ชั่วโมงหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ

สิ่งที่น่าสนใจคือ Query ที่ผู้โจมตีใช้ เป็นการคัดลอก และใช้ Code ตัวอย่างที่ Patchstack เป็นคนเขียน

มีการตรวจสอบพบว่ากว่า 1.4 ล้านเว็บไซต์ที่ใช้ปลั๊กอิน WordPress ที่ได้รับผลกระทบ ยังไม่ได้อัปเกรดเป็นเวอร์ชันล่าสุดตามสถิติของ wordpress.

นักวิจัยด้านความปลอดภัยจาก Patchstack แจ้งเตือนปลั๊กอิน WordPress 'Advanced Custom Fields' และ 'Advanced Custom Fields Pro' ซึ่งมีการติดตั้งไปแล้วหลายล้านครั้ง มีความเสี่ยงต่อการถูกโจมตีแบบ cross-site scripting (XSS) โดยปลั๊กอินทั้งสองนี้เป็นหนึ่งใน WordPress custom field plugin ที่ได้รับความนิยมมากที่สุดของ WordPress โดยมีการติดตั้งที่ใช้งานอยู่กว่า 2,000,000 ครั้ง บนเว็บไซต์ทั่วโลก (more…)