Emby ปิดการทำงานเซิร์ฟเวอร์ Media ของผู้ใช้งานที่ถูกโจมตีล่าสุด

Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย

โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ

การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน

Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า

โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์

หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก

เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง

เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้

แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.

พบช่องโหว่ Zero day ของ WordPress Plugin

พบช่องโหว่ Zero day ของ WordPress Plugin

ผู้ไม่ประสงค์ดีได้ทำการแสกนหาเว็บไซต์ที่มีการใช้งาน Plugin Fancy Product Designer ซึ่งเป็น Plugin ที่ใช้ในการปรับแต่งผลิตภัณฑ์สินค้าบน WordPress, Woo Commerce และ Shopify จากข้อมูลสถิติการขายปลั๊กอิน Fancy Product Designer พบว่ามีการจำหน่ายและติดตั้งใช้งาน Plugin นี้บนเว็บไซต์แล้วมากกว่า 17,000 แห่ง (more…)

นักวิจัยจาก Wordfence Threat Intelligence ระบุว่า WP Statistics ซึ่งเป็น plugin ซึ่งถูกพัฒนาโดย VeronaLabs มีช่องโหว่ Time-Based Blind SQL injection

นักวิจัยจาก Wordfence Threat Intelligence ระบุว่า WP Statistics ซึ่งเป็น plugin ซึ่งถูกพัฒนาโดย VeronaLabs มีช่องโหว่ Time-Based Blind SQL injection ซึ่งทำให้ผู้โจมตีสามารถโจมตีผ่านช่องโหว่โดยไม่ต้องมีการยืนยันตัวตนได้ ช่องโหว่ที่ถูกโจมตีสามารถใช้เพื่อดึงข้อมูล Sensitive information จากเว็ปไซต์ที่ถูกพัฒนาด้วย WordPress และมีช่องโหว่จาก plugin ดังกล่าว โดยช่องโหว่ที่พบได้ระดับความรุนแรงจาก CVSS ถึง 7.5 (ความรุนแรงสูง) และมีผลกับปลั๊กอินเวอร์ชันก่อนหน้า 13.0.8 ซึ่งปัจจุบันมีการถูก Download ไปใช้งานแล้วมากกว่า 600,000 ครั้ง

การเข้าถึง เมนู “Page” บน WP Statistics ข้อมูล Statistics ซึ่งโดยปกติแล้วควรจะเข้าถึงได้เฉพาะผู้ดูแลระบบ ที่ใช้ในการเข้าชมสถิติของเว็บไซต์ของตนเอง แต่นักวิจัยค้นพบว่าหากมีการใข้คำสั่ง SQL ที่ถูกสร้างขึ้น ก็ทำให้ไม่จำเป็นต้องมีสิทธิ์แอดมินก็สามารถเข้าถึงเมนูดังกล่าวได้

นักวิเคราะห์จาก Wordfence ระบุว่าแม้เมนู Page จะไม่แสดงข้อมูลแก่ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ แต่สามารถเรียกใช้งานหน้านี้ได้โดยส่งคำขอไปยัง wp-admin/admin.

พบช่องโหว่ใน Facebook for WordPress Plugin มีการติดตั้งใช้งานไปแล้วมากกว่า 500,000 ครั้ง

ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)

หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้

ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว

ที่มา: securityaffairs, wordfence

Critical WordPress plugin bug affects hundreds of thousands of sites

บริษัทความปลอดภัย Sucuri รายงานว่าพบช่องโหว่ร้ายแรงระดับ critical ในปลั๊กอิน Custom Contact Forms ซึ่งเป็นปลั๊กอินยอดนิยมอีกตัวหนึ่งของ WordPress ซึ่งช่องโหว่ที่พบจะใช้สิทธิแอดมินของ WordPress สั่งดึงข้อมูลทั้งหมดจากฐานข้อมูล (SQL dump) และอิมพอร์ตข้อมูลกลับเข้าไปใหม่ ผู้ประสงค์ร้ายอาจใช้จังหวะนี้แปลงข้อมูลใน SQL dump (เช่น เพิ่มผู้ใช้บัญชีใหม่) แล้วรอให้ปลั๊กอินดึงกลับเข้าไปในฐานข้อมูล เพื่อใช้ควบคุมเว็บไซต์หลังจากนั้น