นักวิจัยด้านความปลอดภัยได้ค้นพบเว็บไซต์ WordPress กว่า 2,000 แห่ง ถูกฝัง keylogger เพื่อขโมยข้อมูลการ Login และติดตั้ง cryptojacking script เพื่อทำการขุด Cryptocurrency และ Monero

ผู้โจมตีใช้ช่องโหว่ของเว็บไซต์ WordPress ที่ไม่ได้อัปเดตเป็นรุ่นล่าสุด หรือใช้ Theme หรือ Plugin ที่เป็นเวอร์ชั่นเก่า เพื่อฝังโค้ดที่เป็นอันตรายโค้ดลงไปใน CMS โค้ดดังกล่าวจะประกอบด้วยสองส่วน ส่วนแรก คือ ส่วนของหน้า Admin Login เข้าระบบ จะมีการโหลด Keylogger ของโฮสต์ ส่วนที่ 2 คือ ส่วนของหน้าไซต์ จะทำการฝัง Coinhive ในเบราเซอร์เพื่อทำการขุด cryptocurrency กับขุด Monero โดยใช้ CPU ของผู้เข้าชมเว็บไซต์

การโจมตีดังกล่าวถูกพบตั้งแต่ปี 2017 มีเว็บไซต์ WordPress กว่า 5,500 รายถูกโจมตี และสามารถหยุดการโจมตีนี้ได้โดยมีการสั่งปิดโดเมนที่ชื่อว่า cloudflare.

มัลแวร์ wp-vcd กลับมาอีกครั้ง ผู้ใช้งาน WordPress ควรระมัดระวัง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ของ WordPress จากนั้นจะเพิ่มผู้ใช้งานให้มีสิทธิ์เป็นผู้ดูแลระบบอย่างลับๆ และเข้าควบคุมเว็ปไซต์ที่ติดมัลแวร์ตัวนี้
Manuel D’Orso นักวิจัยด้านความปลอดภัยของอิตาลีได้ค้นพบมัลแวร์นี้เป็นครั้งแรก โดยพบว่ามัลแวร์ตัวนี้ถูกโหลดเข้ามาโดยการ include ไฟล์ wp-vcd.

WordPress ปล่อยเวอร์ชัน 4.8.3 แพตช์ช่องโหว่ SQL injection ร้ายแรง

ทาง WordPress ได้มีการปล่อย WordPress 4.8.3 ซึ่งเป็นเวอร์ชั่นใหม่ โดยในเวอร์ชั่นนี้จะแก้ไขช่องโหว่ SQL injection ที่เกิดขึ้นในเวอร์ชั่นก่อนหน้านี้คือ เวอร์ชั่น 4.8.2 โดยมีรายละเอียดข่าวดังนี้

WordPress เวอร์ชั่น 4.8.2 และเวอร์ชั่นก่อนหน้านี้มีปัญหาที่เกิดจากฟังก์ชัน $wpdb->prepare() ที่ทำให้แฮกเกอร์สามารถสร้างข้อความสำหรับไว้ค้นหาที่ไม่ปลอดภัย นำไปสู่การโจมตีด้วยวิธี SQL injection (SQLi) ได้สำเร็จ ในส่วนของตัวโปรแกรมหลัก WordPress จะไม่ได้รับผลกระทบโดยตรง แต่อาจเกิดจากปลั๊กอินและธีมที่ไม่ปลอดภัยก็สามารถมีความเสี่ยงในการถูกโจมตีได้

สำหรับ WordPress เวอร์ชั่น 4.8.3 นี้ทางทีมก็ได้พัฒนาเพิ่ม hardening เพื่อป้องกันปลั๊กอินและธีม อีกทั้งยังมีการเปลี่ยนเแปลงฟังก์ชั่น สำหรับฟังก์ชัน esc_sql() เพื่อให้มีความปลอดภัยมากขึ้น หากใครที่ใช้งานอยู่ควรรีบทำการอัพเดทแพทช์ทันที

ที่มา : wordpress

Official blog ของ jQuery ซึ่งเป็น JavaScript library ยอดนิยมที่เว็บไซต์นับล้านใช้ถูกแฮกโดยแฮ็กเกอร์ที่ใช้นามแฝง "str0ng" และ "n3tr1x"

เว็บไซต์บล็อกของ jQuery (blog.

WordPress ได้มีการปล่อยเวอร์ชั่นใหม่ออกมาคือ WordPress 4.8.2 และมีการแนะนำให้ทำการอัพเดทในทันที โดยในเวอร์ชัน WordPress 4.8.1 และก่อนหน้ามีช่องโหว่อยู่หลายจุดโดยได้รับรายงานจากผู้เชี่ยวชาญหลายคน เช่น
(1) $wpdb->prepare() ที่สามารถสร้าง queries ที่อันตรายได้ และอาจนำไปสู่ SQL injection ในส่วน Core ของ WordPress เองอาจไม่ได้รับผลกระทบโดยตรงจากช่องโหว่นี้ แต่ก็ได้มีการเพิ่มความปลอดภัยให้ เพื่อป้องกัน plugins และ themes ที่อาจทำให้เกิดช่องโหว่โดยไม่ได้ตั้งใจ ช่องโหว่นี้ถูกพบโดย Slavco
(2) ช่องโหว่ cross-site scripting (XSS) ถูกพบหลายที่ด้วยกัน ได้แก่ ใน oEmbed ซึ่งเป็น API สำหรับแสดงผลส่วนที่เป็น Embed บนเวปไซต์ ซึ่งถูกพบโดย xknown จาก WordPress Security Team, ใน visual editor โดย Rodolfo Assis จาก Sucuri Security, ใน plugin editor โดย 陈瑞琦 (Chen Ruiqi), ใน template names โดย Luka (sikic) และใน link modal โดย Anas Roubi (qasuar)
(3) ช่องโหว่ path traversal ถูกพบใน Code ส่วนการ unzipping ไฟล์ รายงานโดย Alex Chapman (noxrnet)
(4) ช่องโหว่ที่เปิดให้สามารถ redirect ได้ ถูกพบบนหน้าจอการแก้ไขข้อมูลผู้ใช้ และข้อตกลงเงื่อนไข
(5) ช่องโหว่ path traversal ถูกพบใน customizer รายงานโดย Weston Ruter จาก WordPress Security Team
ทาง WordPress ได้ออกมากล่าวขอบคุณ ผู้ที่รายงานช่องโหว่ดังกล่าวทุกคน และได้ทำการแก้ไขช่องโหว่เหล่านี้เรียบร้อย ทั้งนี้สามารถอัพเกรดเป็นเวอร์ชั่น 4.8.2 หรือทำการดาวน์โหลดได้จาก link ด้านล่าง
https://wordpress.

แจ้งเตือน backdoor บนปลั๊กอินยอดนิยมของ WordPress "Display Widgets"

WordPress ออกมาประกาศและแจ้งเตือนกรณีที่ปลั๊กอินชื่อดังบนระบบภายใต้ชื่อ Display Widgets ถูกฝัง backdoor และส่งผลให้เว็บไซต์ที่มีการติดตั้งถูกแฮก เวอร์ชันที่ได้รับผลกระทบนั้นเป็นปลั๊กอินในเวอร์ชัน 2.6.1 (เปิดให้ดาวโหลดเมื่อ 30 มิถุนายน) และเวอร์ชัน 2.6.3 (เปิดให้ดาวโหลดเมื่อ 2 กันยายน)

แนะนำให้ผู้ใช้งานตรวจสอบว่ามีการใช้งานปลั๊กอินเหล่านี้อยู่หรือไม่ หากมีแนะนำให้นำออกหรืออัพเดตเป็นเวอร์ชันล่าสุดรวมไปถึงเปลี่ยนรหัสผ่านของระบบ WordPress ด้วย

ที่มา : BLEEPINGCOMPUTER

พบข่องโหว่ร้ายแรงใน Core ของ WordPress 4.6 ทำให้สามารถถูกยึดเครื่องได้ง่ายดายโดยไม่จำเป็นต้องเข้าสู่ระบบแต่อย่างใด (Unauthentication) หากแต่เพียงเว็บไซด์ต้องสามารถเข้าถึงได้โดยไม่ใช้ domain name (Virtual Host) เท่านั้น

Dawid Golunski พบช่องโหว่ RCE ใน WordPress <= 4.6 โดยได้รับ CVE เป็น CVE-2016-10033 ช่องโหว่นี้เกิดจากในส่วนของการส่ง email ไปยัง user จะเป็นการดูจาก SERVER_NAME ที่ client ส่งมาให้ (ตัวอย่าง event ที่จะทำให้เกิดการส่ง email เช่น การ register user, การลืมรหัสผ่าน และอื่นๆ) ซึ่งช่องโหว่นี้จำเป็นต้องมี PHPMailer function ที่มีช่องโหว่ด้วย
โดยปกติค่า SERVER_NAME สามารถกำหนดได้ผ่าน HOST Header ทำให้หาก Hacker ส่ง request การลืมรหัสผ่านของ user admin ไปให้กับ Website เป้าหมาย แล้วกำหนด HOST Header เป็น domain ใดๆพร้อมกับการกำหนด comment ที่เป็น command เข้าไปต่อท้ายกับ domain เมื่อถูกส่งต่อไปทำงานด้วย PHPMailer function ที่มีช่องโหว่ก็จะทำให้เกิด Remote Code Execution ได้นั่นเอง

ตัวอย่างการ request
POST /wordpress/wp-login.

WordPress เว็บบล๊อกสำเร็จรูปสำหรับจัดการเนื้อหาของเว็บไซต์ ออกอัพเดทแพทช์เวอร์ชั่น 4.5.3 เพื่อแก้ไขช่องโหว่จำนวนหลายช่องโหว่ โดยช่องโหว่ที่พบสามารถโจมตีแบบ remote ได้อาจส่งผลให้แฮกเกอร์สามารถควบคุมเว็บไซต์ที่ติดตั้ง WordPress ได้อย่างสมบูรณ์ สำหรับการอัพเดทแก้ไขข้อบกพร่องล่าสุดนั้นเป็นช่องโหว่ bypass การ redirect ใน API Cross-site Scripting 2 ที่ ช่องโหว่เปิดเผยข้อมูลช่องโหว่ต่างๆ ในเวอร์ชั่นก่อนๆ ของเว็บไซต์ได้ ช่องโหว่ที่ทำให้ผู้ที่ไม่มีสิทธิ์สามารถลบโพสต่างๆ ในเว็บไซต์ได้ Denial of Service ในโปรโตคอล oEmbed ที่ใช้สำหรับแสดงรูปหรือวีดีโอเมื่อผู้ใช้ต้องการดูเนื้อหาจากเว็บอื่นๆ รวมไปถึงช่องโหว่ด้านความปลอดภัยของรหัสผ่าน จากการขโมย cookie ได้อีกด้วย เว็บไซต์ที่ใช้งาน WordPress ควรอัพเดทแพทช์เป็นเวอร์ชั่นล่าสุด 4.5.3 โดยเร็วที่สุด

ที่มา: securityaffairs

เมื่อวันที่ 4 มิถุนายนที่ผ่านมา Jouko Pynnönen นักวิจัยด้านความปลอดภัยจาก Klikki Oy ได้รายงานช่องโหว่ของ Uber ไปที่เว็บ HackerOne โดยให้รายละเอียดว่าในแต่ละโดเมนของ uber.

เมื่อวัน 4 มิถุนายนที่ผ่านมา เว็บไซต์ของ Acunetix Web Vulnerability Scanner (www.acunetix.com) โปรแกรมที่ใช้ในการสแกน/ตรวจสอบช่องโหว่ด้านความปลอดภัยของเว็บไซต์ชื่อดังยอดนิยม ถูกแฮกเว็บไซต์โดยแฮกเกอร์ชาวโครเอเชียและได้ทำการ deface เปลี่ยนหน้าเว็บไซต์ ส่งผลให้ในระยะเวลานั้นเว็บไซต์เข้าใช้งานไม่ได้ชั่วคราว

อย่างไรก็ตามมีการตรวจสอบเกิดขึ้นพบว่าเว็บไซต์ www.