RealHome theme และปลั๊กอิน Easy Real Estate สำหรับ WordPress มีช่องโหว่ระดับ Critical สองรายการที่สามารถทำให้ผู้ใช้งานที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบได้

แม้ว่าช่องโหว่ทั้งสองรายการนี้จะถูกค้นพบในเดือนกันยายน 2024 โดย Patchstack และมีความพยายามหลายครั้งในการติดต่อผู้พัฒนา (InspiryThemes) แต่นักวิจัยระบุว่ายังไม่ได้รับการตอบกลับใด ๆ จากผู้พัฒนา

นอกจากนี้ Patchstack ยังระบุว่า ผู้พัฒนาได้ปล่อยเวอร์ชันใหม่มาแล้วสามครั้งตั้งแต่เดือนกันยายน แต่ไม่มีการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical เหล่านี้ ดังนั้นช่องโหว่ดังกล่าวจึงยังคงไม่ได้รับการแก้ไข และสามารถถูกโจมตีได้ต่อไป

RealHome theme และปลั๊กอิน Easy Real Estate ถูกออกแบบมาสำหรับเว็บไซต์อสังหาริมทรัพย์ โดยข้อมูลจาก Envanto Market ระบุว่า RealHome theme ถูกใช้งานในเว็บไซต์กว่า 32,600 แห่ง

ช่องโหว่แรก ซึ่งส่งผลกระทบต่อ RealHome theme เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ที่มีหมายเลข CVE-2024-32444 (คะแนน CVSS: 9.8)

Theme ดังกล่าวอนุญาตให้ผู้ใช้งานสามารถลงทะเบียนบัญชีใหม่ได้ผ่านฟังก์ชัน inspiry_ajax_register แต่ไม่ได้ตรวจสอบการ authorization อย่างถูกต้อง หรือไม่มีการตรวจสอบเลย

หากเปิดใช้งานการลงทะเบียนบนเว็บไซต์ ผู้โจมตีสามารถระบุ role ของตนเองให้เป็น "ผู้ดูแลระบบ" ได้ โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชันการลงทะเบียน ซึ่งเป็นการ bypass การตรวจสอบความปลอดภัยโดยพื้นฐาน

เมื่อผู้โจมตีลงทะเบียนเป็นผู้ดูแลระบบได้สำเร็จ พวกเขาจะสามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ ซึ่งรวมถึงการแก้ไขเนื้อหา, การฝังสคริปต์ และการเข้าถึงข้อมูลผู้ใช้งาน หรือข้อมูลสำคัญอื่น ๆ

ส่วนช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Easy Real Estate เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านฟีเจอร์ Social Login ซึ่งมีหมายเลข CVE-2024-32555 (คะแนน CVSS: 9.8)

ช่องโหว่นี้เกิดจากฟีเจอร์ Social Login ที่อนุญาตให้ผู้ใช้งานเข้าสู่ระบบด้วยที่อยู่อีเมลของตน โดยไม่มีการตรวจสอบว่าอีเมลนั้นเป็นของผู้ที่ส่ง request จริงหรือไม่

ผลลัพธ์คือ หากผู้โจมตีทราบที่อยู่อีเมลของผู้ดูแลระบบ พวกเขาสามารถเข้าสู่ระบบได้โดยไม่จำเป็นต้องใช้รหัสผ่าน ผลกระทบจากการโจมตีนี้คล้ายคลึงกับช่องโหว่ CVE-2024-32444

ข้อแนะนำในการลดความเสี่ยง

เนื่องจากทาง InspiryThemes ยังไม่ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้งาน Theme หรือปลั๊กอินดังกล่าวควรปิดการใช้งานทันที

การปิดการลงทะเบียนผู้ใช้งานบนเว็บไซต์ที่ได้รับผลกระทบจะช่วยป้องกันการสร้างบัญชีโดยไม่ได้รับอนุญาต ซึ่งจะลดโอกาสที่ช่องโหว่จะถูกใช้งาน

เนื่องจากปัญหาช่องโหว่ในปลั๊กอิน และ Theme ทั้งสองรายการนี้ได้รับการเปิดเผยออกสู่สาธารณะแล้ว ผู้ไม่หวังดีอาจเริ่มสำรวจความเป็นไปได้ และสแกนหาเว็บไซต์ที่มีช่องโหว่ ดังนั้นการตอบสนองอย่างรวดเร็วเพื่อป้องกันภัยคุกคามจึงมีความสำคัญอย่างยิ่ง

 

ที่มา : bleepingcomputer.

พบช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการในปลั๊กอิน Spam protection, Anti-Spam และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถติดตั้ง และเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่มีช่องโหว่ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

พบช่องโหว่ Authentication Bypass ระดับ Critical ที่ส่งผลกระทบกับปลั๊กอิน WordPress 'Really Simple Security' (ชื่อเดิม 'Really Simple SSL') ทั้งในเวอร์ชันฟรี และเวอร์ชัน Pro (more…)

LiteSpeed Cache ซึ่งเป็นปลั๊กอินยอดนิยมบน WordPress ได้แก้ไขช่องโหว่ privilege elevation ที่พบในเวอร์ชันล่าสุด ซึ่งช่องโหว่นี้อาจทำให้ผู้เยี่ยมชมเว็บไซต์ที่ไม่ได้มีการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ของผู้ดูแลระบบได้

LiteSpeed Cache เป็น caching plugin ที่ใช้งานในเว็บไซต์ WordPress กว่า 6 ล้านเว็บ โดยช่วยเพิ่มความเร็ว และประสบการณ์การเข้าชมเว็บไซต์ของผู้ใช้งานให้ดียิ่งขึ้น (more…)

 

เว็บไซต์ WordPress ถูกโจมตีเพื่อติดตั้งปลั๊กอินที่เป็นอันตราย ที่จะปลอมเป็นการอัปเดตซอฟต์แวร์ และ errors ปลอม เพื่อส่งมัลแวร์ที่ใช้สำหรับขโมยข้อมูล

ในช่วงสองสามปีที่ผ่านมา มัลแวร์ขโมยข้อมูลได้กลายมาเป็นภัยคุกคามต่อองค์กรทั่วโลก เนื่องจากข้อมูล credentials ที่ขโมยมาจะถูกนำไปใช้ในการโจมตีเครือข่าย และขโมยข้อมูลอื่น ๆ ต่อไป

ตั้งแต่ปี 2023 มีการใช้แคมเปญอันตรายที่เรียกว่า ClearFake เพื่อแสดงแบนเนอร์การอัปเดตเบราว์เซอร์ปลอมบนเว็บไซต์ที่ถูกโจมตี ซึ่งแบนเนอร์เหล่านี้จะแพร่กระจายมัลแวร์ที่ใช้สำหรับขโมยข้อมูล

ในปี 2024 มีการเปิดตัวแคมเปญใหม่ชื่อ ClickFix ซึ่งมีความคล้ายคลึงกับ ClearFake มาก แต่แอบอ้างว่าเป็นข้อความแสดง errors ของซอฟต์แวร์พร้อมวิธีการแก้ไขที่รวมอยู่ด้วย อย่างไรก็ตามวิธีการแก้ไขเหล่านี้เป็นสคริปต์ PowerShell ที่เมื่อดำเนินการแล้วจะดาวน์โหลด และติดตั้งมัลแวร์ที่ใช้สำหรับขโมยข้อมูล

แคมเปญ ClickFix กลายเป็นเรื่องปกติมากขึ้นในปีนี้ โดยผู้โจมตีทำการโจมตีเว็บไซต์เพื่อแสดงแบนเนอร์ที่เกี่ยวกับ errors ปลอมสำหรับ Google Chrome, การประชุม Google Meet และ Facebook รวมไปถึงหน้า captcha

ปลั๊กอิน WordPress ที่เป็นอันตราย

เมื่อสัปดาห์ที่แล้ว GoDaddy ระบุว่า ผู้โจมตี ClearFake/ClickFix ได้โจมตีเว็บไซต์ WordPress กว่า 6,000 แห่ง เพื่อติดตั้งปลั๊กอินที่เป็นอันตรายซึ่งจะแสดงการแจ้งเตือนปลอมที่เกี่ยวข้องกับแคมเปญเหล่านี้

Denis Sinegubko นักวิจัยจาก GoDaddy ระบุว่า ทีมงานด้านความปลอดภัยของ GoDaddy กำลังติดตามมัลแวร์ปลอมที่กระจายตัวผ่านปลั๊กอิน WordPress ในรูปแบบของ ClickFix (หรือเรียกอีกอย่างว่า ClearFake) ซึ่งเป็นมัลแวร์ที่แสดงการอัปเดตเบราว์เซอร์ปลอม

ปลั๊กอินที่มีความน่าเชื่อถือเหล่านี้ได้รับการออกแบบมาให้ดูเหมือนไม่เป็นอันตรายต่อผู้ดูแลเว็บไซต์ แต่ภายในมีสคริปต์ที่เป็นอันตรายฝังอยู่ ซึ่งจะส่งการแจ้งเตือนอัปเดตเบราว์เซอร์ปลอมไปยังผู้ใช้งาน

ปลั๊กอินที่เป็นอันตรายใช้ชื่อที่คล้ายคลึงกับปลั๊กอินที่น่าเชื่อถือ เช่น Wordfense Security และ LiteSpeed Cache ในขณะที่ปลั๊กอินอื่น ๆ ใช้ชื่อทั่วไปที่แต่งขึ้นเอง

รายชื่อปลั๊กอินที่เป็นอันตรายที่พบในแคมเปญนี้ระหว่างเดือนมิถุนายนถึงกันยายน 2024 ได้แก่

บริษัทด้านความปลอดภัยเว็บไซต์ Sucuri ยังสังเกตว่ามีปลั๊กอินปลอมที่ชื่อ Universal Popup Plugin เป็นส่วนหนึ่งของแคมเปญนี้ด้วย

เมื่อปลั๊กอินที่เป็นอันตรายนี้ถูกติดตั้ง มันจะเชื่อมต่อกับการทำงานต่าง ๆ ของ WordPress ขึ้นอยู่กับรูปแบบที่ใช้ เพื่อแทรกสคริปต์ JavaScript ที่เป็นอันตรายลงใน HTML ของเว็บไซต์

เมื่อสคริปต์นี้ถูกโหลด มันจะพยายามโหลดไฟล์ JavaScript ที่เป็นอันตรายเพิ่มเติม ซึ่งถูกเก็บไว้ในสมาร์ทคอนแทร็กต์บน Binance Smart Chain (BSC) จากนั้นไฟล์นี้จะโหลดสคริปต์ ClearFake หรือ ClickFix เพื่อแสดงแบนเนอร์ปลอม

จาก access logs ของเว็บเซิร์ฟเวอร์ที่วิเคราะห์โดย Sinegubko พบว่าผู้โจมตีดูเหมือนจะใช้ข้อมูล credentials ของผู้ดูแลระบบที่ขโมยมาในการเข้าสู่ระบบเว็บไซต์ WordPress และติดตั้งปลั๊กอินในรูปแบบอัตโนมัติ

ดังที่เห็นจากภาพด้านล่าง ผู้โจมตีจะเข้าสู่ระบบผ่าน HTTP POST request เพียงครั้งเดียว แทนที่จะเข้าหน้าล็อกอินของเว็บไซต์ก่อน ซึ่งแสดงให้เห็นว่ากระบวนการนี้ทำโดยอัตโนมัติหลังจากที่ได้รับข้อมูล credentials มาแล้ว

เมื่อผู้โจมตีเข้าสู่ระบบได้แล้ว พวกเขาจะอัปโหลด และติดตั้งปลั๊กอินที่เป็นอันตราย

แม้ว่าจะยังไม่ชัดเจนว่าผู้โจมตีได้ข้อมูล credentials มาได้อย่างไร แต่นักวิจัยระบุว่า อาจเกิดจากการโจมตีแบบ brute force attacks, phishing และมัลแวร์ขโมยข้อมูลในอดีต

หากเป็นผู้ดูแลเว็บไซต์ที่ใช้ WordPress และได้รับรายงานว่ามีการแสดงการแจ้งเตือนปลอมแก่ผู้เยี่ยมชมเว็บไซต์ ควรตรวจสอบรายการปลั๊กอินที่ติดตั้งทันที และลบปลั๊กอินที่ไม่ได้ติดตั้งออกด้วยตนเอง

หากพบปลั๊กอินที่ไม่รู้จัก ควรรีเซ็ตรหัสผ่านของผู้ใช้งานที่ได้รับสิทธิ์ผู้ดูแลระบบทันที และใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับเว็บไซต์

ที่มา : bleepingcomputer

ปลั๊กอิน WordPress Jetpack ได้เผยแพร่การอัปเดตด้านความปลอดภัยที่สำคัญในวันนี้ ซึ่งแก้ไขช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่เข้าสู่ระบบสามารถเข้าถึงแบบฟอร์มที่ส่งโดยผู้เข้าชมคนอื่นบนเว็บไซต์ได้

Jetpack เป็นปลั๊กอิน WordPress ที่ได้รับความนิยมซึ่งพัฒนาโดย Automattic ซึ่งมีเครื่องมือที่ช่วยปรับปรุงฟังก์ชันการทำงาน, ความปลอดภัย และประสิทธิภาพของเว็บไซต์ ตามข้อมูลจาก vendor ปลั๊กอินนี้ถูกติดตั้งบนเว็บไซต์จำนวน 27 ล้านแห่ง

ปัญหาดังกล่าวถูกค้นพบระหว่างการตรวจสอบภายใน และมีผลกระทบต่อทุกเวอร์ชันของ Jetpack ตั้งแต่เวอร์ชัน 3.9.9 ที่เผยแพร่ในปี 2016 เป็นต้นมา

ช่องโหว่นี้สามารถถูกใช้โดยผู้ใช้งานที่เข้าสู่ระบบบนเว็บไซต์ เพื่ออ่านแบบฟอร์มที่ผู้เยี่ยมชมบนเว็บไซต์ส่งมา

Automattic ได้ออกการแก้ไขสำหรับ Jetpack เวอร์ชันที่ได้รับผลกระทบ 101 เวอร์ชัน ทั้งหมดแสดงอยู่ด้านล่าง

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1
12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2
11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2
10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2
9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5
8.9.4,8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3
7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5
6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4
5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3
4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7
3.9.10

เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้ Jetpack ควรตรวจสอบว่าปลั๊กอินของตนได้รับการอัปเกรดอัตโนมัติไปยังหนึ่งในเวอร์ชันที่กล่าวถึงข้างต้นหรือไม่ และควรดำเนินการอัปเกรดแบบแมนนวลหากยังไม่ได้รับการอัปเกรด

Jetpack ระบุว่า ไม่มีหลักฐานว่าผู้ไม่หวังดีได้ใช้ช่องโหว่ดังกล่าวในช่วงแปดปีที่ผ่านมา แต่แนะนำให้ผู้ใช้อัปเกรดเป็นเวอร์ชันที่แก้ไขปัญหาโดยเร็วที่สุด

Jetpack เตือนว่า "ยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้ประโยชน์ในการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ปัจจุบันมีการเผยแพร่การอัปเดตแล้ว เป็นไปได้ว่าอาจมีบางคนพยายามใช้ประโยชน์จากช่องโหว่นี้"

ปัจจุบันยังไม่มีการลดผลกระทบ หรือวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ ดังนั้นการอัปเดตแพตซ์ที่มีอยู่จึงเป็นวิธีแก้ปัญหาที่แนะนำเพียงอย่างเดียว

รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ และวิธีการที่มันสามารถถูกนำมาใช้ในการโจมตี ยังไม่ถูกเปิดเผยในขณะนี้ เพื่อให้ผู้ใช้งานมีเวลาในการติดตั้งการอัปเดตด้านความปลอดภัย

ที่มา : bleepingcomputer

พบช่องโหว่ใหม่ที่ถูกเปิดเผยในปลั๊กอิน LiteSpeed Cache สำหรับ WordPress ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ด JavaScript ตามที่ต้องการได้ภายใต้เงื่อนไขบางประการ (more…)

ผู้ให้บริการตรวจสอบพันธุกรรม DNA และการจับคู่ใบหน้าจากรัฐอินเดียนาทำข้อมูลส่วนบุคคล, ข้อมูลไบโอเมตริกส์ และข้อมูลที่สามารถระบุตัวบุคคล (PII) ของลูกค้านับพันรายรั่วไหล เหตุการณ์นี้ถูกรายงานโดย Jeremiah Fowler นักวิจัยด้านความปลอดภัยไซเบอร์ ซึ่งเป็นที่รู้จักในการค้นหา และรายงานฐานข้อมูลที่มีการกำหนดค่าผิดพลาดให้กับบริษัทต่าง ๆ ก่อนที่ผู้ไม่หวังดีจะนำไปใช้ประโยชน์ โดยมีการแจ้งรายละเอียดกับ Hackread.

เริ่มตั้งแต่วันที่ 1 ตุลาคมนี้เป็นต้นไป บัญชีของ WordPress.org ที่สามารถส่งอัปเดต และเปลี่ยนแปลงปลั๊กอิน และธีมได้ จะต้องเปิดใช้ระบบการยืนยันตัวตนแบบสองขั้นตอน (2FA) บนบัญชี (more…)

มีการเปิดเผยช่องโหว่ ระดับ critical ของ WPML WordPress multilingual plugin โดยเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถรันโค้ดบางอย่างจากระยะไกลภายใต้เงื่อนไขบางประการได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-6386 (คะแนน CVSS: 9.9) ส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันจนถึงเวอร์ชัน 4.6.13 ซึ่งเปิดเผยเมื่อวันที่ 20 สิงหาคม 2024 ที่ผ่านมา

ช่องโหว่นี้เกิดขึ้นจากการไม่ได้ตรวจสอบ input validation ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึง Contributor-level หรือสิทธิ์ที่สูงกว่า และสามารถเรียกใช้โค้ดบนเซิร์ฟเวอร์ได้

(more…)