แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง

พบแคมเปญมัลแวร์ในชื่อ Sign1 ได้แพร่กระจายไปยังเว็บไซต์มากกว่า 39,000 แห่งในช่วงหกเดือนที่ผ่านมา ทำให้ผู้ใช้งานจะถูก redirect และเห็นโฆษณา popup ads ที่ไม่ต้องการ

(more…)

Kinsta ผู้ให้บริการ WordPress hosting แจ้งเตือนลูกค้าว่ามีผู้พบเห็นโฆษณาบน Google ในการโปรโมตเว็บไซต์ฟิชชิ่ง เพื่อขโมย hosting credentials

Kinsta ระบุว่า การโจมตีแบบฟิชชิ่งมีจุดมุ่งหมายเพื่อขโมยข้อมูล credentials การเข้าสู่ระบบของ MyKinsta ซึ่งเป็นบริการที่สำคัญของบริษัทในการจัดการ WordPress และแอปพลิเคชันบนคลาวด์อื่น ๆ (more…)

WordPress ออกแพตซ์อัปเดตเวอร์ชัน 6.4.2 ที่ระบุถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งอาจใช้ร่วมกับช่องโหว่อื่นที่ทำให้ผู้โจมตีสามารถเรียกใช้ PHP code ที่เป็นอันตรายบนเว็บไซต์ได้

WordPress เป็นระบบการจัดการเนื้อหา Content Management System (CMS) ซึ่งเป็นซอฟต์แวร์แบบโอเพนซอร์สที่ได้รับความนิยมอย่างมากในการสร้าง และจัดการเว็บไซต์ ซึ่งปัจจุบันมีการใช้งานมากกว่า 800 ล้านเว็บไซต์ หรือประมาณ 45% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

โดยทีมรักษาความปลอดภัยพบช่องโหว่ของ Property Oriented Programming (POP) ที่ถูกนำมาใช้ใน WordPress 6.4 ซึ่งอาจทำให้มีการเรียกใช้ PHP code ที่เป็นอันตรายได้

การโจมตีช่องโหว่ POP ผู้โจมตีต้องควบคุมคุณสมบัติทั้งหมดของ deserialize object ซึ่งสามารถทำได้ผ่านฟังก์ชัน unserialize () ของ PHP โดยการควบคุมค่าที่ส่งไปยัง magic method เช่น '_wakeup()'

โดยเว็บไซต์เป้าหมายต้องมีช่องโหว่ PHP object injection ซึ่งอาจอยู่บนปลั๊กอิน หรือส่วนต่าง ๆ ของธีม จึงจะส่งผลกระทบทำให้ช่องโหว่มีระดับความรุนแรงสูงขึ้นเป็นระดับ Critical

WordPress ระบุว่าช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลไม่สามารถโจมตีได้โดยตรง แต่ทีมรักษาความปลอดภัยเชื่อว่าเมื่อใช้ร่วมกับปลั๊กอินบางตัว โดยเฉพาะที่มีการติดตั้งในหลายเว็บไซต์ยิ่งอาจทำให้มีระดับความรุนแรงสูงขึ้น

ผู้เชี่ยวชาญด้านความปลอดภัยของ Wordfence ให้รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่นี้โดยอธิบายว่า ช่องโหว่อยู่ในประเภท 'WP_HTML_Token' ซึ่งอยู่ใน WordPress 6.4 เพื่อปรับปรุงการการวิเคราะห์แบบ HTML ใน block editor โดยประกอบด้วย magic method '__destruct' ซึ่งใช้ 'call_user_func' เพื่อดำเนินการฟังก์ชันที่กำหนดไว้ในคุณสมบัติ 'on_destroy' และ 'bookmark_name'

นักวิจัยระบุว่าผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ object injection สามารถควบคุมคุณสมบัติเหล่านี้เพื่อสั่งรันโค้ดได้ตามที่ต้องการ

แม้ว่าช่องโหว่นี้จะไม่รุนแรงด้วยตัวมันเอง เนื่องจากความจำเป็นในการใช้ประโยชน์จาก object injection ในปลั๊กอิน หรือธีมที่ติดตั้ง และใช้งานอยู่ แต่การมี POP ที่สามารถใช้ประโยชน์ได้ใน WordPress สามารถเพิ่มความเสี่ยงของเว็บไซต์ WordPress ขึ้นได้

การแจ้งเตือนอื่นจากแพลตฟอร์มความปลอดภัย Patchstack สำหรับ WordPress และปลั๊กอินระบุว่า ช่องโหว่นี้ถูกอัปโหลดเมื่อหลายสัปดาห์ก่อนบน GitHub และต่อมาได้เพิ่มลงในไลบรารี PHPGGC ซึ่งใช้ในการทดสอบความปลอดภัยของแอปพลิเคชัน PHP

ถึงแม้ช่องโหว่อาจมีความรุนแรง และสามารถโจมตีได้แค่ในบางกรณี อย่างไรก็ตามนักวิจัยแนะนำให้ผู้ดูแลระบบอัปเดต WordPress ให้เป็นเวอร์ชันล่าสุด และแม้ว่าการอัปเดตส่วนใหญ่จะติดตั้งเวอร์ชันใหม่ให้โดยอัตโนมัติ แต่ยังคงแนะนำให้ตรวจสอบด้วยตนเองว่าการอัปเดตเสร็จสมบูรณ์หรือไม่

ที่มา: bleepingcomputer

แคมเปญ Balada Injector หลายแคมเปญได้โจมตีเว็บไซต์ WordPress กว่า 17,000 เว็บไซต์ โดยใช้ช่องโหว่ในปลั๊กอิน premium theme

Balada Injector เป็นปฏิบัติการขนาดใหญ่ที่ถูกพบในเดือนธันวาคม 2022 โดย Dr. Web ซึ่งพบการใช้ประโยชน์จากช่องโหว่ต่าง ๆ ของปลั๊กอินใน WordPress ที่เป็นที่รู้จัก และช่องโหว่ของ theme เพื่อติดตั้ง Linux backdoor

โดย Backdoor จะทำการเปลี่ยนเส้นทางผู้เข้าชมเว็บไซต์ที่ถูกโจมตีไปยังหน้า tech support ปลอม, หลอกว่าได้รับรางวัล และการหลอกลวงการแจ้งเตือนลักษณะต่าง ๆ ดังนั้นจึงคาดว่าการโจมตีนี้เป็นส่วนหนึ่งของแคมเปญการหลอกลวง หรือบริการที่ขายให้กับผู้โจมตี

ในเดือนเมษายนปี 2023 Sucuri รายงานว่า Balada Injector ถูกพบมาตั้งแต่ปี 2017 และประเมินว่าได้ทำการโจมตีเว็บไซต์ WordPress ไปแล้วเกือบหนึ่งล้านเว็บไซต์

แคมเปญในปัจจุบัน

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Cross-site scripting (XSS) ที่มีหมายเลข CVE-2023-3169 ใน tagDiv Composer ซึ่งเป็นเครื่องมือสำหรับ tagDiv Newspaper และ Newsmag themes สำหรับเว็บไซต์ WordPress

(more…)

แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ critical ใน WooCommerce Payments เพื่อเข้าถึงสิทธิ์ของผู้ใช้งาน รวมถึงสิทธิ์ของผู้ดูแลระบบใน WordPress ที่มีช่องโหว่ (more…)

ปัจจุบันมีจำนวนเว็บไซต์ WordPress มากถึง 200,000 เว็บไซต์ที่มีความเสี่ยงต่อการโจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ยังไม่ได้รับการแก้ไขในปลั๊กอิน Ultimate Member

ช่องโหว่นี้มีหมายเลข CVE-2023-3460 (คะแนน CVSS: 9.8) มีผลกระทบต่อเวอร์ชันทั้งหมดของปลั๊กอิน Ultimate Member รวมถึงเวอร์ชันล่าสุด (เวอร์ชัน 2.6.6) ที่ปล่อยออกมาเมื่อวันที่ 29 มิถุนายน 2023

Ultimate Member เป็นปลั๊กอินที่ได้รับความนิยมสำหรับการสร้างโปรไฟล์ผู้ใช้งาน และชุมชนบนเว็บไซต์ WordPress โดยยังมีฟีเจอร์การจัดการบัญชีให้ใช้งานอีกด้วย

WPScan บริษัทความปลอดภัยของ WordPress ได้แจ้งเตือนว่า "ช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์อาจใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ ซึ่งจะทำให้พวกเขามีสิทธิ์ในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ"

แม้ว่าจะยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่ แต่ช่องโหว่นี้เกิดจาก blocklist logic ที่ไม่เหมาะสม ซึ่งถูกนำเข้ามาเพื่อเปลี่ยนค่าของ wp_capabilities ในข้อมูลของผู้ใช้งานใหม่ให้เป็นผู้ดูแลระบบ และทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงเต็มรูปแบบของเว็บไซต์

นักวิจัยจาก Wordfence ชื่อ Chloe Chamberland ระบุว่า "แม้ว่าปลั๊กอินจะมีรายการคีย์ที่ถูกห้ามตามที่กำหนดไว้ล่วงหน้า ซึ่งผู้ใช้งานไม่ควรสามารถอัปเดตได้ แต่ก็มีวิธีเล็ก ๆ น้อย ๆ ในการเลี่ยงผ่านการตรวจสอบ เช่นการใช้ตัวอักษรต่าง ๆ, slashes และการเข้ารหัสตัวอักษรในค่า meta key ที่มีช่องโหว่ในเวอร์ชันของปลั๊กอิน"

ช่องโหว่นี้ถูกเปิดเผยขึ้นภายหลังจากที่มีรายงานเกี่ยวกับการเพิ่มบัญชีผู้ดูแลระบบที่ไม่ถูกต้องไปยังเว็บไซต์ที่ได้รับผลกระทบ ส่งผลให้ผู้ดูแลปลั๊กอินต้องออกเวอร์ชันแก้ไขบางส่วนในเวอร์ชัน 2.6.4, 2.6.5, และ 2.6.6 โดยการอัปเดตใหม่คาดว่าจะถูกปล่อยในเร็ว ๆ นี้

Ultimate Member ระบุในบันทึกการอัปเดตว่า "ช่องโหว่ในการยกระดับสิทธิพิเศษที่ใช้ผ่าน UM Forms ทำให้ผู้โจมตีสามารถสร้างผู้ใช้งาน WordPress ระดับผู้ดูแลระบบได้"

WPScan ระบุว่าการแก้ไขช่องโหว่ยังไม่สมบูรณ์ และพบวิธีการหลีกเลี่ยงการตรวจสอบที่สามารถใช้ได้ ซึ่งหมายความว่าช่องโหว่ยังคงสามารถถูกนำมาใช้ประโยชน์ในการโจมตีได้อย่างต่อเนื่อง

ในการโจมตีที่ตรวจพบ ช่องโหว่ถูกนำมาใช้ในการลงทะเบียนบัญชีใหม่ในชื่อ apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup, และ wpenginer เพื่ออัปโหลดปลั๊กอินที่เป็น malware และ themes ผ่านทาง administration panel ของเว็บไซต์

ผู้ใช้งาน Ultimate Member ควรปิดการใช้งานปลั๊กอินจนกว่าจะมีการแก้ไขที่เหมาะสม ในการปิดช่องโหว่ด้านความปลอดภัยได้อย่างสมบูรณ์ นอกจากนี้ยังแนะนำให้ตรวจสอบผู้ใช้งานระดับผู้ดูแลระบบทั้งหมดบนเว็บไซต์เพื่อตรวจสอบว่ามีบัญชีที่ไม่ได้รับอนุญาตถูกเพิ่มเข้ามาหรือไม่

Ultimate Member เวอร์ชัน 2.6.7 ถูกปล่อยออกมาแล้ว

Ultimate Member ได้ปล่อยแพตซ์อัปเดตเวอร์ชัน 2.6.7 ของปลั๊กอิน เมื่อวันที่ 1 กรกฎาคม 2023 เพื่อแก้ไขช่องโหว่การเพิ่มสิทธิ์ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ในมาตรการความปลอดภัยเพิ่มเติม ผู้พัฒนายังวางแผนที่จะเพิ่มคุณสมบัติใหม่ในปลั๊กอินเพื่อให้ผู้ดูแลเว็บไซต์สามารถรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานทั้งหมดได้

ผู้พัฒนาระบุว่า "ในเวอร์ชัน 2.6.7 ได้ทำการเพิ่มรายการที่อนุญาตให้ใช้งานเฉพาะ (whitelisting) สำหรับ meta keys ที่เก็บไว้ขณะที่ sending forms" และยังแยกข้อมูลการตั้งค่าแบบฟอร์ม, ข้อมูลที่ส่งเข้ามาแยกกัน และดำเนินการด้วยตัวแปรสองตัวที่แตกต่างกัน

ที่มา: https://thehackernews.

Automat บริษัทที่อยู่เบื้องหลังระบบการจัดการเนื้อหาของ WordPress เริ่มบังคับการติดตั้งแพตช์อัปเดตด้านความปลอดภัยในเว็บไซต์หลายล้านเว็บไซต์ในวันนี้ เพื่อแก้ไขช่องโหว่ที่สำคัญในปลั๊กอิน Jetpack

Jetpack เป็นปลั๊กอินที่ได้รับความนิยมอย่างมาก ซึ่งให้บริการด้านความปลอดภัย ประสิทธิภาพ และการจัดการเว็บไซต์ฟรี รวมถึงการสำรองข้อมูลเว็บไซต์ การป้องกันการโจมตีแบบ brute-force การล็อกอินที่ปลอดภัย การสแกนมัลแวร์ และอื่น ๆ

จากข้อมูลอย่างเป็นทางการของ WordPress ปลั๊กอินนี้ได้รับการดูแลโดย Automattic และตอนนี้มีการติดตั้งที่ใช้งานอยู่มากกว่า 5 ล้านครั้ง โดยระหว่างการตรวจสอบความปลอดภัยภายใน บริษัทพบช่องโหว่ของ API ที่มีอยู่ใน Jetpack ตั้งแต่เวอร์ชัน 2.0 ซึ่งเปิดตัวในปี 2012

โดย Jetpack เวอร์ชัน 12.1.1 เป็นแพตช์อัปเดตด้านความปลอดภัยที่จะถูกติดตั้งกับเว็บไซต์ WordPress ทั้งหมดโดยอัตโนมัติ เริ่มตั้งแต่วันนี้เป็นต้นไป (30 พฤษภาคม 2023) และได้รับการติดตั้งบนเว็บไซต์ไปแล้วมากกว่า 4,130,000 เว็บไซต์ที่ใช้ Jetpack ทุกเวอร์ชั่นตั้งแต่ 2.0

เว็บไซต์ที่มีช่องโหว่ส่วนใหญ่ได้รับการอัปเดตเป็นเวอร์ชันล่าสุดที่ปลอดภัยโดยอัตโนมัติแล้ว และส่วนที่เหลือก็จะได้รับการอัปเดตแพตช์ในเร็ว ๆ นี้เช่นกัน

Herve แจ้งเตือนผู้ดูแลเว็บไซต์ แม้ว่าจะไม่มีสัญญาณว่าช่องโหว่ดังกล่าวถูกนำมาใช้ในการโจมตี แต่ควรตรวจสอบให้แน่ใจว่าเว็บไซต์ปลอดภัย เนื่องจากผู้โจมตีมักจะรวบรวมข้อมูลของช่องโหว่จากแพตซ์อัปเดตที่เกิดขึ้น และสร้างเครื่องมือที่ใช้โจมตีไปยังเว็บไซต์ WordPress ที่ยังไม่ได้รับการอัปเดตแพตช์

ไม่ใช่ครั้งแรกที่ WordPress ใช้วิธีการอัปเดตแพตซ์ความปลอดภัยโดยอัตโนมัติเพื่อแก้ไขช่องโหว่ที่สำคัญในปลั๊กอิน ตัวอย่างเช่น Samuel Wood ผู้พัฒนา WordPress ระบุในเดือนตุลาคม 2020 ว่า WordPress ใช้วิธีการนี้เพื่ออัปเดตแพตซ์ด้านความปลอดภัยสำหรับปลั๊กอินหลายครั้งตั้งแต่ WordPress 3.7 เปิดตัว

คำแนะนำ

อัปเดตเวอร์ชันของ Jetpack โดยเร็วที่สุด
เวอร์ชันแพตช์ของ Jetpack ทุกเวอร์ชันตั้งแต่ 2.0 ส่วนใหญ่จะได้รับการอัปเดตเป็นเวอร์ชันที่ปลอดภัยโดยอัตโนมัติเร็ว ๆ นี้

ที่มา : bleepingcomputer

นักวิจัยพบการโจมตีที่มีเป้าหมายไปที่ช่องโหว่ Unauthenticated Stored Cross-Site Scripting (XSS) ในปลั๊กอินการยอมรับคุกกี้บน WordPress ที่ชื่อ Beautiful Cookie Consent Banner ซึ่งมีการติดตั้งไปแล้วมากกว่า 40,000 ครั้ง (more…)

นักวิจัยด้านความปลอดภัยจาก Wordfence พบว่า Hacker กำลังมุ่งเป้าหมายการโจมตีไปยัง Elementor plugin ที่มีช่องโหว่ในเว็บไซต์ WordPress หลายพันแห่ง โดยพยายามสแกนเพื่อค้นหาเป้าหมาย และโจมตีช่องโหว่ในการรีเซ็ตรหัสผ่านบัญชี CVE-2023-32243

CVE-2023-32243 (คะแนนCVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถหลีกเลี่ยงการตรวจสอบความถูกต้อง ทำให้สามารถรีเซ็ตรหัสผ่านของบัญชีผู้ดูแลระบบ และเข้าควบคุมเว็บไซต์ได้ โดยส่งผลกระทบต่อ Essential Addons สำหรับ Elementor เวอร์ชัน 5.4.0 ถึง 5.7.1 ทำให้กระทบต่อเว็บไซต์กว่าล้านแห่ง ซึ่งช่องโหว่นี้ถูกค้นพบโดย PatchStack เมื่อวันที่ 8 พฤษภาคม 2023 และได้รับอัปเดตเพื่อแก้ไขช่องโหว่แล้วใน plugin เวอร์ชัน 5.7.2 เมื่อวันที่ 11 พฤษภาคม 2023 (more…)

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่พึ่งจะได้รับการแก้ไขไปแล้วเมื่อเร็ว ๆ นี้ ในปลั๊กอิน Advanced Custom Fields ของ WordPress เพียงแค่ประมาณ 24 ชั่วโมงหลังจากที่มีการเผยแพร่ PoC ออกสู่สาธารณะ

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-30777 ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) ที่มีระดับความรุนแรงสูง ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลที่มีความสำคัญ และเพิ่มสิทธิ์ในเว็บไซต์ WordPress ที่มีช่องโหว่ได้

ช่องโหว่ดังกล่าวถูกพบโดย Patchstack บริษัทรักษาความปลอดภัยของเว็บไซต์เมื่อวันที่ 2 พฤษภาคม 2023 และมีการเผยแพร่ PoC ออกมาในวันที่ 5 พฤษภาคม 2023 หนึ่งวันหลังจากนั้น ผู้ให้บริการปลั๊กอินดังกล่าวได้มีการอัปเดตแพตซ์ด้านความปลอดภัยด้วยเวอร์ชัน 6.1.6

รายงานจาก Akamai Security Intelligence Group (SIG) พบว่า ตั้งแต่วันที่ 6 พฤษภาคม 2023 Akamai สังเกตเห็นพฤติกรรมการสแกน และการใช้ประโยชน์จากช่องโหว่โดยใช้โค้ดตัวอย่างที่ให้ไว้ในบทความของ Patchstack

Akamai SIG วิเคราะห์ข้อมูลการโจมตีแบบ XSS และระบุได้ว่าพบการโจมตีที่เริ่มต้นภายใน 24 ชั่วโมงหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ

สิ่งที่น่าสนใจคือ Query ที่ผู้โจมตีใช้ เป็นการคัดลอก และใช้ Code ตัวอย่างที่ Patchstack เป็นคนเขียน

มีการตรวจสอบพบว่ากว่า 1.4 ล้านเว็บไซต์ที่ใช้ปลั๊กอิน WordPress ที่ได้รับผลกระทบ ยังไม่ได้อัปเกรดเป็นเวอร์ชันล่าสุดตามสถิติของ wordpress.