นักวิจัยด้านภัยคุกคามของ Patchstack บริษัทด้านความปลอดภัยได้รายงานการพบการใช้ช่องโหว่ระดับ Critical ในการโจมตี WordPress Houzez ซึ่งเป็นโปรแกรมเสริมแบบพรีเมียม 2 รายการที่มักถูกใช้ในเว็บไซต์อสังหาริมทรัพย์

Houzez theme เป็นปลั๊กอินระดับพรีเมียมที่มีราคา 69 ดอลลาร์ ที่สามารถจัดการเว็บไซต์ได้สะดวก และสามารถใช้งานได้ง่าย โดย ** Houzez มีผู้ใช้งานกว่า 35,000 รายในอุตสาหกรรมด้านอสังหาริมทรัพย์

โดยนักวิจัยได้รายงานการพบการใช้ช่องโหว่ CVE-2023-26540 และ CVE-2023-26009 ในการโจมตีเว็บไซต์ WordPress Houzez ซึ่งนักวิจัยได้แจ้งไปยัง ThemeForest ผู้จำหน่ายธีมดังกล่าว โดยนักวิจัยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังเว็บไซต์จำนวนมากที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย

การโจมตี WordPress Houzez

ช่องโหว่แรกของ WordPress Houzez คือ CVE-2023-26540 (คะแนน CVSS 9.8/10 ระดับความรุนแรง Critical) เป็นช่องโหว่การกำหนดค่าความปลอดภัยที่ไม่ถูกต้องซึ่งส่งผลต่อปลั๊กอิน Houzez Theme เวอร์ชัน 2.7.1 และเก่ากว่า ทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์เพื่อดำเนินการยกระดับสิทธิ์ (Privilege Escalation)

การแก้ไข : อัปเดตเป็น Houzez เวอร์ชัน 2.7.2 หรือใหม่กว่า

ช่องโหว่ต่อมาของ WordPress Houzez คือ CVE-2023-26009 (คะแนน CVSS 9.8/10 ระดับความรุนแรง Critical) เป็นช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Houzes Login Register ซึ่งส่งผลต่อปลั๊กอิน Houzez Login Register เวอร์ชัน 2.6.3 และเก่ากว่า ทำให้สามารถหลีกเลี่ยงการตรวจสอบตัวตน และสามารถดำเนินการยกระดับสิทธิ์ Privilege Escalation บนเว็บไซต์โดยใช้ปลั๊กอินได้

การแก้ไข : อัปเดตเป็น Houzez Login Register 2.6.4 หรือใหม่กว่า

โดย Patchstack พบว่า Hackers ได้ใช้ประโยชน์จากช่องโหว่เหล่านี้ ในการส่ง request ไปเพื่อขอสร้างบัญชี และใช้ช่องโหว่ในการหลีกเลี่ยงการตรวจสอบสิทธิ์ จึงทำให้ Hacker สามารถสร้าง account ที่มีสิทธิเป็นผู้ดูแลระบบในเว็บไซต์ ทำให้ผู้โจมตีสามารถควบคุมเว็บไซต์ที่ใช้งาน WordPress ได้อย่างสมบูรณ์ หลังจากนั้นก็จะสามารถทำการอัปโหลด backdoor ขึ้นไปเพื่อสามารถเรียกใช้คำสั่งตามที่ต้องการ หรือเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่เป็นอันตรายอื่น ๆ

การป้องกัน

ผู้ดูแลเว็บไซต์ควรเร่งอัปเดต WordPress Houzez เป็นเวอร์ชันล่าสุดเพื่อป้องกันช่องโหว่

 

ที่มา : bleepingcomputer

แฮกเกอร์ที่เกี่ยวข้องกับการทำแคมเปญมัลแวร์เพื่อเปลี่ยนเส้นทาง ได้มีการขยายขนาดของแคมเปญโดยการใช้โดเมนปลอมมากกว่า 70 โดเมน ที่เลียนแบบตัวย่อ URL และทำให้เว็บไซต์กว่า 10,800 เว็บไซต์ติดมัลแวร์ โดยมีวัตถุประสงค์หลัก คือเพิ่มการเข้าชมหน้าเว็บไซต์ที่มี AdSense ID ที่มีโฆษณาของ Google เพื่อสร้างรายได้ให้แฮกเกอร์จากการเพิ่มจำนวนการเข้าชมที่เกินจริง และทำให้ Google เข้าใจว่ายอดผู้ชมเหล่านั้นเป็นคนจริง ๆ ที่คลิกเข้าชมจาก IP ที่ต่างกัน

Ben Martin นักวิจัยของ Sucuri ผู้ให้บริการแพลตฟอร์ม Web Security กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้วว่าพบแคมเปญที่เป็นอันตรายที่ถูกเปิดเผยครั้งแรกโดยบริษัท GoDaddy ในเดือนพฤศจิกายน 2022 โดยแฮกเกอร์ได้เพิ่มประสิทธิ์ภาพของเว็บไซต์เหล่านี้ให้แสดงในผลลัพธ์ของเครื่องมือค้นหาเพื่อนำผู้ชมไปยังเว็บไซต์อื่น โดยสิ่งสำคัญของแคมเปญในครั้งนี้ คือการใช้ลิงก์ผลการค้นหาของ Bing และบริการย่อลิงก์ (t[.]co) ของ Twitter ร่วมกับ Google ในการเปลี่ยนเส้นทาง

นอกจากนี้ยังมีโดเมน URL ปลอมยอดนิยม เช่น Bitly, Cuttly หรือ ShortURL ที่จะนำพาผู้ชมไปยังเว็บไซต์ Q&A ที่สร้างขึ้นมาโดยแฮกเกอร์ Sucuri ระบุว่าเว็บไซต์ Q&A นั้นเป็นเว็บไซต์ที่เกี่ยวกับ blockchain และ cryptocurrency ซึ่งโดเมน URL เหล่านี้อยู่บน DDoS-Guard ที่เป็นผู้ให้บริการโครงสร้างพื้นฐานอินเทอร์เน็ตของรัสเซียที่ให้บริการป้องกันด้าน DDoS สำหรับโฮสติ้ง และแฮกเกอร์ยังเพิ่มมัลแวร์เข้าไปในไฟล์ wp-blog-header.

WPGateway นั้นเป็น Premium Plugin สำหรับช่วยผู้ดูแลไซต์เพื่อติดตั้ง สำรองข้อมูล และโคลนปลั๊กอินต่าง ๆ รวมถึง WordPress Theme จาก Dashboard ซึ่งถูกพบว่ามีช่องโหว่ 0-Day ที่กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย ซึ่งมันจะอนุญาตให้ผู้ไม่หวังดีเข้าควบคุมไซต์ที่ได้รับผลกระทบได้อย่างสมบูรณ์

Wordfence กล่าวว่ามีการติดตั้ง Plugin นี้ไปแล้วมากกว่า 280,000 เว็บไซต์ และได้ blocked การโจมตีช่องโหว่จาก plugin ดังกล่าวไปแล้วกว่า 4.6 ล้านครั้ง ในช่วง 30 วันที่ผ่านมา

รายละเอียดช่องโหว่

ช่องโหว่มีหมายเลข CVE-2022-3180 (CVSS: 9.8) โดยช่องโหว่นี้กำลังถูกใช้เป็นเครื่องมือให้กับผู้ไม่หวังดีสามารถเพิ่ม Malicious administrator เข้าไปบนเว็บไซต์ที่ใช้ WPGateway plugin ได้โดยที่ไม่ต้องผ่านการตรวจสอบสิทธิ์

โดยหากพบว่ามี Administrator user ที่ชื่อว่า “rangex” อยู่บนเว็บไซต์ที่มีการใช้งาน Plugin ดังกล่าว หมายความว่าเว็ปไซต์นั้นอาจจะถูกโจมตีแล้ว หรือหากพบว่ามี request ไปที่ “//wp-content/plugins/wpgateway/wpgateway-webservice-new.

WordPress Security (Wordfence) เปิดเผยว่า พบช่องโหว่ Zero-Day จาก Plugin ใน WordPress ที่มีชื่อว่า BackupBuddy กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย โดยช่องโหว่ถูกพบครั้งแรกเมื่อวันที่ 26 สิงหาคม 2565 และมีการพยายามที่จะโจมตีกว่า 5 ล้านครั้งแต่ถูก Block ไว้ได้ทั้งหมด

BackupBuddy เป็น Plugin ที่ช่วยให้ผู้ใช้งานสามารถสำรองข้อมูลทั้งหมดของตัวเองใน WordPress เช่นข้อมูลการติดตั้ง WordPress ธีม เพจ โพสต์ วิดเจ็ต ข้อมูลผู้ใช้ และไฟล์มีเดียเป็นต้น

รายละเอียดของช่องโหว่

ช่องโหว่ Zero-Day BackUpBuddy มีหมายเลข CVE-2022-31474 คะแนน CVSS: 7.5 ซึ่งคาดว่ามีเว็บไซต์ที่ใช้งาน Plugin ดังกล่าวอยู่ประมาณ 140,000 เว็บไซต์

โดยช่องโหว่นี้สามารถทำให้ผู้ไม่หวังดีสามารถดาวน์โหลดไฟล์ได้ตามที่ต้องการ โดยไม่ต้องผ่านการตรวจสอบสิทธิ์จากเว็บไซต์ที่ได้รับผลกระทบ ซึ่งปัญหานี้เกิดจากฟังก์ชันที่เรียกว่า "Local Directory Copy" ที่ออกแบบมาเพื่อจัดเก็บสำเนาข้อมูลสำรองในเครื่อง Wordfence ระบุว่า ช่องโหว่เป็นผลมาจากการใช้งานที่ไม่ปลอดภัย ซึ่งช่วยให้ผู้ไม่หวังดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดาวน์โหลดไฟล์ใด ๆ บนเซิร์ฟเวอร์ก็ได้ตามที่ต้องการ

นอกจากนี้ยังมีการรวบรวม IP ที่มีการการโจมตีสูงสุด 10 อันดับแรกตามรายการดังนี้

195.178.120.89 with 1,960,065 attacks blocked
51.142.90.255 with 482,604 attacks blocked
51.142.185.212 with 366770 attacks blocked
52.229.102.181 with 344604 attacks blocked
20.10.168.93 with 341,309 attacks blocked
20.91.192.253 with 320,187 attacks blocked
23.100.57.101 with 303,844 attacks blocked
20.38.8.68 with 302,136 attacks blocked
20.229.10.195 with 277,545 attacks blocked
20.108.248.76 with 211,924 attacks blocked

รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ยังไม่มีการเปิดเผย เนื่องจากการการโจมตีอาจจะเกิดขึ้นเป็นวงกว้าง และเนื่องจากช่องโหว่ดังกล่าวอาจจะสามารถโจมตีได้ง่าย

โดยช่องโหว่อาจทำให้ผู้ไม่หวังดีสามารถเข้าดูเนื้อหาของไฟล์ใด ๆ ก็ตามบนเซิร์ฟเวอร์ที่สามารถอ่านได้จาก WordPress รวมไปถึงไฟล์ที่มีความสำคัญ ซึ่งพบว่าข้อมูลจากการโจมตีส่วนใหญ่เป็นการพยายามเข้าถึงไฟล์ตามรายการด้านล่าง

/etc/passwd
/wp-config.

เมื่อวันที่ 28 มีนาคม พ.ศ. 2565 ที่ผ่านมา นักวิจัยอิสระ Vincent Michel ได้ค้นพบช่องโหว่บน Tatsu Builder ซึ่งเป็นปลั๊กอินของ WordPress
ช่องโหว่ที่เป็นเป้าหมายคือ CVE-2021-25094 ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่ถูกสร้างด้วย Tatsu Builder เวอร์ชันเก่ากว่า 3.3.12 ได้จากนั้น Tatsu Builder ได้ออกแพตช์ในเวอร์ชัน 3.3.13 และแจ้งเตือนให้ผู้ใช้งานอัพเดทในวันที่ 7 เมษายน 2022

อย่างไรก็ตาม นักวิจัยของ Wordfence ซึ่งเป็นบริษัทที่เสนอโซลูชันการรักษาความปลอดภัยสำหรับปลั๊กอิน WordPress ได้ทำการตรวจสอบ พบว่ายังมีเว็บไซต์กว่า 20,000 ถึง 50,000 เว็บไซต์ที่ยังใช้งาน Tatsu Builder เวอร์ชันเก่ากว่า 3.3.12 แม้จะมีแพตช์ในเวอร์ชัน 3.3.13 แล้วก็ตาม   นอกจากนี้ยังมีรายงานว่าพบการโจมตีโดยใช้ช่องโหว่นี้หลายล้านครั้ง ซึ่งในวันที่ 14 พฤษภาคม 2022 พบการโจมตีถึง 5.9 ล้านครั้ง

(more…)

พบปลั้กอิน WordPress ที่มีการติดตั้งมากกว่าหนึ่งล้านครั้งมีช่องโหว่ที่ร้ายแรง อาจส่งให้ผลให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเว็ปไซต์ได้

ปลั๊กอินที่เป็นปัญหาคือ Essential Addons เป็นปลั๊กอินส่วนเสริมของ Elementor ที่มีไลบรารี่ และ extension มากกว่า 80 รายการที่ช่วยในการออกแบบปรับแต่ง pages และ posts

Patchstack กล่าวในรายงานว่า "ช่องโหว่นี้สามารถเข้าถึงไฟล์ เช่น /etc/password โดยไม่สนการตรวจสอบสิทธิ์ หรือการอนุญาตการใช้งาน และวางไฟล์ที่อันตรายอย่าง PHP บนเว็บไซต์ จากนั้นจะทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE)"

ช่องโหว่นี้จะเกิดขึ้นได้ก็ต่อเมื่อมีการใช้งาน widgets อย่าง dynamic gallery และ product gallery

ช่องโหว่นี้ส่งผลกระทบตั้งแต่เวอร์ชัน 5.0.4 รวมถึงเวอร์ชันก่อนหน้านี้ โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัย Wai Yan Myo Thet และช่องโหว่นี้ได้ถูกแก้ไขแล้วในเวอร์ชัน 5.0.5 ที่ปล่อยมาในวันที่ 28 มกราคม หลังจากไม่สามารถแก้ไขได้ในเวอร์ชันก่อนหน้านี้

การออกอัพเดทนี้เกิดขึ้นหลายสัปดาห์หลังจากที่มีผู้ใช้งานไม่ทราบชื่อทำการดัดแปลงธีม และปลั๊กอินของ WordPress หลายรายการที่โฮสต์บนเว็บไซต์ของนักพัฒนาเพื่อแทรกโค้ดที่อันตรายเข้าสู่ระบบหลังบ้าน (inject a backdoor) โดยมีเป้าหมายที่จะโจมตีต่อไปยังเว็บไซต์อื่นๆ

ที่มา : thehackernews

พบช่องโหว่ Zero day ของ WordPress Plugin

ผู้ไม่ประสงค์ดีได้ทำการแสกนหาเว็บไซต์ที่มีการใช้งาน Plugin Fancy Product Designer ซึ่งเป็น Plugin ที่ใช้ในการปรับแต่งผลิตภัณฑ์สินค้าบน WordPress, Woo Commerce และ Shopify จากข้อมูลสถิติการขายปลั๊กอิน Fancy Product Designer พบว่ามีการจำหน่ายและติดตั้งใช้งาน Plugin นี้บนเว็บไซต์แล้วมากกว่า 17,000 แห่ง (more…)

ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)

หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้

ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว

ที่มา: securityaffairs, wordfence

Jinson Varghese Behanan นักวิเคราะห์ความปลอดภัยข้อมูลจาก Astra ได้เปิดเผยถึงช่องโหว่ที่มีความรุนแรงในปลั๊กอิน WordPress ยอดนิยมที่มีชื่อว่า Contact Form 7 ซึ่งมีการดาวน์โหลดและติดตั้งอยู่กว่า 5 ล้านครั้ง

ช่องโหว่ที่มีความรุนแรงในปลั๊กอิน Contact Form 7 ถูกติดตามด้วยรหัส CVE-2020-35489 โดยช่องโหว่เกิดจากการตรวจสอบอักขระที่อยู่ในไฟล์ที่ถูกอัปโหลดไม่ดีพอ ซึ่งช่องโหว่จะเปิดโอกาศให้ผู้โจมตีสามารถ Bypass การตรวจสอบไฟล์ที่ทำการอัปโหลด ผู้โจมตีที่ทำการสร้างไฟล์ขึ้นมาเป็นพิเศษจะสามารถเรียกใช้โค้ดในไฟล์ที่ถูกอัปโหลดได้ ช่องโหว่นี้จะกระทบกับปลั๊กอิน Contact Form 7 เวอร์ชันก่อน 5.3.2

ทั้งนี้ผู้ดูแลเว็บไซต์ควรรีบทำการอัปเดตแพตช์ความปลอดภัยและติดตั้งปลั๊กอิน Contact Form 7 ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer

ทีม Threat Intelligence จาก Wordfence ได้เปิดเผยถึงช่องโหว่ที่มีความร้ายเเรงที่จะช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ใดๆ ได้โดยไม่ได้รับอนุญาตบนโฮสที่มีช่องโหว่ โดยช่องโหว่นี้ถูกพบใน wpDiscuz ซึ่งเป็นปลั๊กอินจัดการระบบการแสดงความคิดเห็นบน WordPress ที่จะจัดการแสดงความคิดเห็นแบบเรียลไทม์ด้วย Ajax โดยปลั๊กอินนี้ถูกติดตั้งบนโฮสต์ WordPress มากกว่า 70,000 แห่ง

Chamberland อธิบายว่าช่องโหว่เกิดจากฟังก์ชันการตรวจสอบไฟล์ mime type ใน wpDiscuz ที่เป็นเวอร์ชั่นเก่าจึงทำให้เกิดการอนุญาตให้สามารถใช้ไฟล์จากสิ่งที่แนบมากับรูปภาพ จึงทำให้เกิดการอัปโหลดไฟล์อื่นๆ ได้โดยไม่ได้รับอนุญาต ซึ่งเมื่อไฟล์ถูกอัปโหลดไปแล้วผู้โจมตีสามารถเรียกใช้โค้ดเพื่อรันคำสั่งบนเซิร์ฟเวอร์จากระยะไกลได้

Chamberland กล่าวว่าช่องโหว่นี้ถูกประเมินคะเนนความรุนเเรงตาม CVSS อยู่ที่ 10/10 โดยช่องโหว่จะมีผลกับ wpDiscuz เวอร์ชันต่ำกว่า 7.0.5 ซึ่งปัจจุบันมีผู้ติดตั้งและใช้งานปลั๊กอิน wpDiscuz บน WordPress และมีความเสี่ยงต่อการถูกใช้ประโยชน์จากช่องโหว่จำนวน 45,000 แห่ง

ทั้งนี้ผู้ใช้งานและผู้ดูเเลเว็บไซต์ควรรีบทำการอัปเดตปลั๊กอิน wpDiscuz ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อลดความเสี่ยงต่อการโจมตีโดยใช้ประโยชน์จากช่องโหว่

ที่มา:

bleepingcomputer.