LiteSpeed Cache ซึ่งเป็นปลั๊กอินยอดนิยมบน WordPress ได้แก้ไขช่องโหว่ privilege elevation ที่พบในเวอร์ชันล่าสุด ซึ่งช่องโหว่นี้อาจทำให้ผู้เยี่ยมชมเว็บไซต์ที่ไม่ได้มีการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ของผู้ดูแลระบบได้
LiteSpeed Cache เป็น caching plugin ที่ใช้งานในเว็บไซต์ WordPress กว่า 6 ล้านเว็บ โดยช่วยเพิ่มความเร็ว และประสบการณ์การเข้าชมเว็บไซต์ของผู้ใช้งานให้ดียิ่งขึ้น (more…)
เว็บไซต์ WordPress ถูกโจมตีเพื่อติดตั้งปลั๊กอินที่เป็นอันตราย ที่จะปลอมเป็นการอัปเดตซอฟต์แวร์ และ errors ปลอม เพื่อส่งมัลแวร์ที่ใช้สำหรับขโมยข้อมูล
ในช่วงสองสามปีที่ผ่านมา มัลแวร์ขโมยข้อมูลได้กลายมาเป็นภัยคุกคามต่อองค์กรทั่วโลก เนื่องจากข้อมูล credentials ที่ขโมยมาจะถูกนำไปใช้ในการโจมตีเครือข่าย และขโมยข้อมูลอื่น ๆ ต่อไป
ตั้งแต่ปี 2023 มีการใช้แคมเปญอันตรายที่เรียกว่า ClearFake เพื่อแสดงแบนเนอร์การอัปเดตเบราว์เซอร์ปลอมบนเว็บไซต์ที่ถูกโจมตี ซึ่งแบนเนอร์เหล่านี้จะแพร่กระจายมัลแวร์ที่ใช้สำหรับขโมยข้อมูล
ในปี 2024 มีการเปิดตัวแคมเปญใหม่ชื่อ ClickFix ซึ่งมีความคล้ายคลึงกับ ClearFake มาก แต่แอบอ้างว่าเป็นข้อความแสดง errors ของซอฟต์แวร์พร้อมวิธีการแก้ไขที่รวมอยู่ด้วย อย่างไรก็ตามวิธีการแก้ไขเหล่านี้เป็นสคริปต์ PowerShell ที่เมื่อดำเนินการแล้วจะดาวน์โหลด และติดตั้งมัลแวร์ที่ใช้สำหรับขโมยข้อมูล
แคมเปญ ClickFix กลายเป็นเรื่องปกติมากขึ้นในปีนี้ โดยผู้โจมตีทำการโจมตีเว็บไซต์เพื่อแสดงแบนเนอร์ที่เกี่ยวกับ errors ปลอมสำหรับ Google Chrome, การประชุม Google Meet และ Facebook รวมไปถึงหน้า captcha
ปลั๊กอิน WordPress ที่เป็นอันตราย
เมื่อสัปดาห์ที่แล้ว GoDaddy ระบุว่า ผู้โจมตี ClearFake/ClickFix ได้โจมตีเว็บไซต์ WordPress กว่า 6,000 แห่ง เพื่อติดตั้งปลั๊กอินที่เป็นอันตรายซึ่งจะแสดงการแจ้งเตือนปลอมที่เกี่ยวข้องกับแคมเปญเหล่านี้
Denis Sinegubko นักวิจัยจาก GoDaddy ระบุว่า ทีมงานด้านความปลอดภัยของ GoDaddy กำลังติดตามมัลแวร์ปลอมที่กระจายตัวผ่านปลั๊กอิน WordPress ในรูปแบบของ ClickFix (หรือเรียกอีกอย่างว่า ClearFake) ซึ่งเป็นมัลแวร์ที่แสดงการอัปเดตเบราว์เซอร์ปลอม
ปลั๊กอินที่มีความน่าเชื่อถือเหล่านี้ได้รับการออกแบบมาให้ดูเหมือนไม่เป็นอันตรายต่อผู้ดูแลเว็บไซต์ แต่ภายในมีสคริปต์ที่เป็นอันตรายฝังอยู่ ซึ่งจะส่งการแจ้งเตือนอัปเดตเบราว์เซอร์ปลอมไปยังผู้ใช้งาน
ปลั๊กอินที่เป็นอันตรายใช้ชื่อที่คล้ายคลึงกับปลั๊กอินที่น่าเชื่อถือ เช่น Wordfense Security และ LiteSpeed Cache ในขณะที่ปลั๊กอินอื่น ๆ ใช้ชื่อทั่วไปที่แต่งขึ้นเอง
รายชื่อปลั๊กอินที่เป็นอันตรายที่พบในแคมเปญนี้ระหว่างเดือนมิถุนายนถึงกันยายน 2024 ได้แก่
บริษัทด้านความปลอดภัยเว็บไซต์ Sucuri ยังสังเกตว่ามีปลั๊กอินปลอมที่ชื่อ Universal Popup Plugin เป็นส่วนหนึ่งของแคมเปญนี้ด้วย
เมื่อปลั๊กอินที่เป็นอันตรายนี้ถูกติดตั้ง มันจะเชื่อมต่อกับการทำงานต่าง ๆ ของ WordPress ขึ้นอยู่กับรูปแบบที่ใช้ เพื่อแทรกสคริปต์ JavaScript ที่เป็นอันตรายลงใน HTML ของเว็บไซต์
เมื่อสคริปต์นี้ถูกโหลด มันจะพยายามโหลดไฟล์ JavaScript ที่เป็นอันตรายเพิ่มเติม ซึ่งถูกเก็บไว้ในสมาร์ทคอนแทร็กต์บน Binance Smart Chain (BSC) จากนั้นไฟล์นี้จะโหลดสคริปต์ ClearFake หรือ ClickFix เพื่อแสดงแบนเนอร์ปลอม
จาก access logs ของเว็บเซิร์ฟเวอร์ที่วิเคราะห์โดย Sinegubko พบว่าผู้โจมตีดูเหมือนจะใช้ข้อมูล credentials ของผู้ดูแลระบบที่ขโมยมาในการเข้าสู่ระบบเว็บไซต์ WordPress และติดตั้งปลั๊กอินในรูปแบบอัตโนมัติ
ดังที่เห็นจากภาพด้านล่าง ผู้โจมตีจะเข้าสู่ระบบผ่าน HTTP POST request เพียงครั้งเดียว แทนที่จะเข้าหน้าล็อกอินของเว็บไซต์ก่อน ซึ่งแสดงให้เห็นว่ากระบวนการนี้ทำโดยอัตโนมัติหลังจากที่ได้รับข้อมูล credentials มาแล้ว
เมื่อผู้โจมตีเข้าสู่ระบบได้แล้ว พวกเขาจะอัปโหลด และติดตั้งปลั๊กอินที่เป็นอันตราย
แม้ว่าจะยังไม่ชัดเจนว่าผู้โจมตีได้ข้อมูล credentials มาได้อย่างไร แต่นักวิจัยระบุว่า อาจเกิดจากการโจมตีแบบ brute force attacks, phishing และมัลแวร์ขโมยข้อมูลในอดีต
หากเป็นผู้ดูแลเว็บไซต์ที่ใช้ WordPress และได้รับรายงานว่ามีการแสดงการแจ้งเตือนปลอมแก่ผู้เยี่ยมชมเว็บไซต์ ควรตรวจสอบรายการปลั๊กอินที่ติดตั้งทันที และลบปลั๊กอินที่ไม่ได้ติดตั้งออกด้วยตนเอง
หากพบปลั๊กอินที่ไม่รู้จัก ควรรีเซ็ตรหัสผ่านของผู้ใช้งานที่ได้รับสิทธิ์ผู้ดูแลระบบทันที และใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับเว็บไซต์
ที่มา : bleepingcomputer
ปลั๊กอิน WordPress Jetpack ได้เผยแพร่การอัปเดตด้านความปลอดภัยที่สำคัญในวันนี้ ซึ่งแก้ไขช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่เข้าสู่ระบบสามารถเข้าถึงแบบฟอร์มที่ส่งโดยผู้เข้าชมคนอื่นบนเว็บไซต์ได้
Jetpack เป็นปลั๊กอิน WordPress ที่ได้รับความนิยมซึ่งพัฒนาโดย Automattic ซึ่งมีเครื่องมือที่ช่วยปรับปรุงฟังก์ชันการทำงาน, ความปลอดภัย และประสิทธิภาพของเว็บไซต์ ตามข้อมูลจาก vendor ปลั๊กอินนี้ถูกติดตั้งบนเว็บไซต์จำนวน 27 ล้านแห่ง
ปัญหาดังกล่าวถูกค้นพบระหว่างการตรวจสอบภายใน และมีผลกระทบต่อทุกเวอร์ชันของ Jetpack ตั้งแต่เวอร์ชัน 3.9.9 ที่เผยแพร่ในปี 2016 เป็นต้นมา
ช่องโหว่นี้สามารถถูกใช้โดยผู้ใช้งานที่เข้าสู่ระบบบนเว็บไซต์ เพื่ออ่านแบบฟอร์มที่ผู้เยี่ยมชมบนเว็บไซต์ส่งมา
Automattic ได้ออกการแก้ไขสำหรับ Jetpack เวอร์ชันที่ได้รับผลกระทบ 101 เวอร์ชัน ทั้งหมดแสดงอยู่ด้านล่าง
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1
12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2
11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2
10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2
9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5
8.9.4,8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3
7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5
6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4
5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3
4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7
3.9.10
เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้ Jetpack ควรตรวจสอบว่าปลั๊กอินของตนได้รับการอัปเกรดอัตโนมัติไปยังหนึ่งในเวอร์ชันที่กล่าวถึงข้างต้นหรือไม่ และควรดำเนินการอัปเกรดแบบแมนนวลหากยังไม่ได้รับการอัปเกรด
Jetpack ระบุว่า ไม่มีหลักฐานว่าผู้ไม่หวังดีได้ใช้ช่องโหว่ดังกล่าวในช่วงแปดปีที่ผ่านมา แต่แนะนำให้ผู้ใช้อัปเกรดเป็นเวอร์ชันที่แก้ไขปัญหาโดยเร็วที่สุด
Jetpack เตือนว่า "ยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้ประโยชน์ในการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ปัจจุบันมีการเผยแพร่การอัปเดตแล้ว เป็นไปได้ว่าอาจมีบางคนพยายามใช้ประโยชน์จากช่องโหว่นี้"
ปัจจุบันยังไม่มีการลดผลกระทบ หรือวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ ดังนั้นการอัปเดตแพตซ์ที่มีอยู่จึงเป็นวิธีแก้ปัญหาที่แนะนำเพียงอย่างเดียว
รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ และวิธีการที่มันสามารถถูกนำมาใช้ในการโจมตี ยังไม่ถูกเปิดเผยในขณะนี้ เพื่อให้ผู้ใช้งานมีเวลาในการติดตั้งการอัปเดตด้านความปลอดภัย
ที่มา : bleepingcomputer
พบช่องโหว่ใหม่ที่ถูกเปิดเผยในปลั๊กอิน LiteSpeed Cache สำหรับ WordPress ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ด JavaScript ตามที่ต้องการได้ภายใต้เงื่อนไขบางประการ (more…)
ผู้ให้บริการตรวจสอบพันธุกรรม DNA และการจับคู่ใบหน้าจากรัฐอินเดียนาทำข้อมูลส่วนบุคคล, ข้อมูลไบโอเมตริกส์ และข้อมูลที่สามารถระบุตัวบุคคล (PII) ของลูกค้านับพันรายรั่วไหล เหตุการณ์นี้ถูกรายงานโดย Jeremiah Fowler นักวิจัยด้านความปลอดภัยไซเบอร์ ซึ่งเป็นที่รู้จักในการค้นหา และรายงานฐานข้อมูลที่มีการกำหนดค่าผิดพลาดให้กับบริษัทต่าง ๆ ก่อนที่ผู้ไม่หวังดีจะนำไปใช้ประโยชน์ โดยมีการแจ้งรายละเอียดกับ Hackread.
เริ่มตั้งแต่วันที่ 1 ตุลาคมนี้เป็นต้นไป บัญชีของ WordPress.org ที่สามารถส่งอัปเดต และเปลี่ยนแปลงปลั๊กอิน และธีมได้ จะต้องเปิดใช้ระบบการยืนยันตัวตนแบบสองขั้นตอน (2FA) บนบัญชี (more…)
มีการเปิดเผยช่องโหว่ ระดับ critical ของ WPML WordPress multilingual plugin โดยเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถรันโค้ดบางอย่างจากระยะไกลภายใต้เงื่อนไขบางประการได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-6386 (คะแนน CVSS: 9.9) ส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันจนถึงเวอร์ชัน 4.6.13 ซึ่งเปิดเผยเมื่อวันที่ 20 สิงหาคม 2024 ที่ผ่านมา
ช่องโหว่นี้เกิดขึ้นจากการไม่ได้ตรวจสอบ input validation ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึง Contributor-level หรือสิทธิ์ที่สูงกว่า และสามารถเรียกใช้โค้ดบนเซิร์ฟเวอร์ได้
(more…)
กลุ่ม Hackers ทำการโจมตีเป้าหมายโดยการมุ่งเป้าไปที่ช่องโหว่ปลั๊กอิน WP Automatic ซึ่งเป็นช่องโหว่ที่มีความรุนแรงในระดับ Critical โดยทำการสร้างบัญชีผู้ใช้ที่มีสิทธิ์สูง และวาง backdoors ไว้เพื่อการเข้าถึงในระยะยาว (more…)
แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง
พบแคมเปญมัลแวร์ในชื่อ Sign1 ได้แพร่กระจายไปยังเว็บไซต์มากกว่า 39,000 แห่งในช่วงหกเดือนที่ผ่านมา ทำให้ผู้ใช้งานจะถูก redirect และเห็นโฆษณา popup ads ที่ไม่ต้องการ
(more…)
Kinsta ผู้ให้บริการ WordPress hosting แจ้งเตือนลูกค้าว่ามีผู้พบเห็นโฆษณาบน Google ในการโปรโมตเว็บไซต์ฟิชชิ่ง เพื่อขโมย hosting credentials
Kinsta ระบุว่า การโจมตีแบบฟิชชิ่งมีจุดมุ่งหมายเพื่อขโมยข้อมูล credentials การเข้าสู่ระบบของ MyKinsta ซึ่งเป็นบริการที่สำคัญของบริษัทในการจัดการ WordPress และแอปพลิเคชันบนคลาวด์อื่น ๆ (more…)