นักวิจัยด้านความปลอดภัยจาก Wordfence พบว่า Hacker กำลังมุ่งเป้าหมายการโจมตีไปยัง Elementor plugin ที่มีช่องโหว่ในเว็บไซต์ WordPress หลายพันแห่ง โดยพยายามสแกนเพื่อค้นหาเป้าหมาย และโจมตีช่องโหว่ในการรีเซ็ตรหัสผ่านบัญชี CVE-2023-32243

CVE-2023-32243 (คะแนนCVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถหลีกเลี่ยงการตรวจสอบความถูกต้อง ทำให้สามารถรีเซ็ตรหัสผ่านของบัญชีผู้ดูแลระบบ และเข้าควบคุมเว็บไซต์ได้ โดยส่งผลกระทบต่อ Essential Addons สำหรับ Elementor เวอร์ชัน 5.4.0 ถึง 5.7.1 ทำให้กระทบต่อเว็บไซต์กว่าล้านแห่ง ซึ่งช่องโหว่นี้ถูกค้นพบโดย PatchStack เมื่อวันที่ 8 พฤษภาคม 2023 และได้รับอัปเดตเพื่อแก้ไขช่องโหว่แล้วใน plugin เวอร์ชัน 5.7.2 เมื่อวันที่ 11 พฤษภาคม 2023 (more…)

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่พึ่งจะได้รับการแก้ไขไปแล้วเมื่อเร็ว ๆ นี้ ในปลั๊กอิน Advanced Custom Fields ของ WordPress เพียงแค่ประมาณ 24 ชั่วโมงหลังจากที่มีการเผยแพร่ PoC ออกสู่สาธารณะ

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-30777 ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) ที่มีระดับความรุนแรงสูง ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลที่มีความสำคัญ และเพิ่มสิทธิ์ในเว็บไซต์ WordPress ที่มีช่องโหว่ได้

ช่องโหว่ดังกล่าวถูกพบโดย Patchstack บริษัทรักษาความปลอดภัยของเว็บไซต์เมื่อวันที่ 2 พฤษภาคม 2023 และมีการเผยแพร่ PoC ออกมาในวันที่ 5 พฤษภาคม 2023 หนึ่งวันหลังจากนั้น ผู้ให้บริการปลั๊กอินดังกล่าวได้มีการอัปเดตแพตซ์ด้านความปลอดภัยด้วยเวอร์ชัน 6.1.6

รายงานจาก Akamai Security Intelligence Group (SIG) พบว่า ตั้งแต่วันที่ 6 พฤษภาคม 2023 Akamai สังเกตเห็นพฤติกรรมการสแกน และการใช้ประโยชน์จากช่องโหว่โดยใช้โค้ดตัวอย่างที่ให้ไว้ในบทความของ Patchstack

Akamai SIG วิเคราะห์ข้อมูลการโจมตีแบบ XSS และระบุได้ว่าพบการโจมตีที่เริ่มต้นภายใน 24 ชั่วโมงหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ

สิ่งที่น่าสนใจคือ Query ที่ผู้โจมตีใช้ เป็นการคัดลอก และใช้ Code ตัวอย่างที่ Patchstack เป็นคนเขียน

มีการตรวจสอบพบว่ากว่า 1.4 ล้านเว็บไซต์ที่ใช้ปลั๊กอิน WordPress ที่ได้รับผลกระทบ ยังไม่ได้อัปเกรดเป็นเวอร์ชันล่าสุดตามสถิติของ wordpress.

พบเว็บไชต์ WordPress กว่า 1 ล้านเว็บไซต์ ติดมัลแวร์จากแคมเปญการโจมตีของ Balada Injector Malware ตั้งแต่ปี 2017

โดยทาง Doctor Web ได้เผยแพร่รายงานเกี่ยวกับมัลแวร์บน Linux ที่มีการใช้ช่องโหว่บนปลั๊กอิน และธีมของเว็บไซต์บน WordPress กว่า 20 รายการในการโจมตีเป้าหมาย (more…)

แคมเปญการขโมยข้อมูลบัตรเครดิตรูปแบบใหม่ที่แตกต่างจากที่เคยถูกพบมาก่อน โดยการใช้การซ่อนโค้ดที่เป็นอันตรายไว้ภายในโมดูลของเกตเวย์การชำระเงิน 'Authorize.

Banking Trojan ชื่อ 'Mispadu' ซึ่งมีความเกี่ยวข้องกับแคมเปญการโจมตีในลักษณะ spam หลายครั้ง โดยมีเป้าหมายไปยังประเทศต่าง ๆ ในแถบละตินอเมริกา เช่น โบลิเวีย, ชิลี, เม็กซิโก, เปรู, และโปรตุเกส ในการขโมยข้อมูล credentials และแพร่กระจายเพย์โหลดของมัลแวร์

Ocelot Team จากบริษัทด้านความปลอดภัยทางไซเบอร์ในละตินอเมริกาชื่อ 'Metabase Q' ระบุในรายงานกับ The Hacker News ว่า "การโจมตีนี้เริ่มขึ้นเมื่อต้นเดือนสิงหาคม 2022 และยังดำเนินการอยู่ในปัจจุบัน" (more…)

นักวิจัยด้านภัยคุกคามของ Patchstack บริษัทด้านความปลอดภัยได้รายงานการพบการใช้ช่องโหว่ระดับ Critical ในการโจมตี WordPress Houzez ซึ่งเป็นโปรแกรมเสริมแบบพรีเมียม 2 รายการที่มักถูกใช้ในเว็บไซต์อสังหาริมทรัพย์

Houzez theme เป็นปลั๊กอินระดับพรีเมียมที่มีราคา 69 ดอลลาร์ ที่สามารถจัดการเว็บไซต์ได้สะดวก และสามารถใช้งานได้ง่าย โดย ** Houzez มีผู้ใช้งานกว่า 35,000 รายในอุตสาหกรรมด้านอสังหาริมทรัพย์

โดยนักวิจัยได้รายงานการพบการใช้ช่องโหว่ CVE-2023-26540 และ CVE-2023-26009 ในการโจมตีเว็บไซต์ WordPress Houzez ซึ่งนักวิจัยได้แจ้งไปยัง ThemeForest ผู้จำหน่ายธีมดังกล่าว โดยนักวิจัยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังเว็บไซต์จำนวนมากที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย

การโจมตี WordPress Houzez

ช่องโหว่แรกของ WordPress Houzez คือ CVE-2023-26540 (คะแนน CVSS 9.8/10 ระดับความรุนแรง Critical) เป็นช่องโหว่การกำหนดค่าความปลอดภัยที่ไม่ถูกต้องซึ่งส่งผลต่อปลั๊กอิน Houzez Theme เวอร์ชัน 2.7.1 และเก่ากว่า ทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์เพื่อดำเนินการยกระดับสิทธิ์ (Privilege Escalation)

การแก้ไข : อัปเดตเป็น Houzez เวอร์ชัน 2.7.2 หรือใหม่กว่า

ช่องโหว่ต่อมาของ WordPress Houzez คือ CVE-2023-26009 (คะแนน CVSS 9.8/10 ระดับความรุนแรง Critical) เป็นช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Houzes Login Register ซึ่งส่งผลต่อปลั๊กอิน Houzez Login Register เวอร์ชัน 2.6.3 และเก่ากว่า ทำให้สามารถหลีกเลี่ยงการตรวจสอบตัวตน และสามารถดำเนินการยกระดับสิทธิ์ Privilege Escalation บนเว็บไซต์โดยใช้ปลั๊กอินได้

การแก้ไข : อัปเดตเป็น Houzez Login Register 2.6.4 หรือใหม่กว่า

โดย Patchstack พบว่า Hackers ได้ใช้ประโยชน์จากช่องโหว่เหล่านี้ ในการส่ง request ไปเพื่อขอสร้างบัญชี และใช้ช่องโหว่ในการหลีกเลี่ยงการตรวจสอบสิทธิ์ จึงทำให้ Hacker สามารถสร้าง account ที่มีสิทธิเป็นผู้ดูแลระบบในเว็บไซต์ ทำให้ผู้โจมตีสามารถควบคุมเว็บไซต์ที่ใช้งาน WordPress ได้อย่างสมบูรณ์ หลังจากนั้นก็จะสามารถทำการอัปโหลด backdoor ขึ้นไปเพื่อสามารถเรียกใช้คำสั่งตามที่ต้องการ หรือเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่เป็นอันตรายอื่น ๆ

การป้องกัน

ผู้ดูแลเว็บไซต์ควรเร่งอัปเดต WordPress Houzez เป็นเวอร์ชันล่าสุดเพื่อป้องกันช่องโหว่

 

ที่มา : bleepingcomputer

แฮกเกอร์ที่เกี่ยวข้องกับการทำแคมเปญมัลแวร์เพื่อเปลี่ยนเส้นทาง ได้มีการขยายขนาดของแคมเปญโดยการใช้โดเมนปลอมมากกว่า 70 โดเมน ที่เลียนแบบตัวย่อ URL และทำให้เว็บไซต์กว่า 10,800 เว็บไซต์ติดมัลแวร์ โดยมีวัตถุประสงค์หลัก คือเพิ่มการเข้าชมหน้าเว็บไซต์ที่มี AdSense ID ที่มีโฆษณาของ Google เพื่อสร้างรายได้ให้แฮกเกอร์จากการเพิ่มจำนวนการเข้าชมที่เกินจริง และทำให้ Google เข้าใจว่ายอดผู้ชมเหล่านั้นเป็นคนจริง ๆ ที่คลิกเข้าชมจาก IP ที่ต่างกัน

Ben Martin นักวิจัยของ Sucuri ผู้ให้บริการแพลตฟอร์ม Web Security กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้วว่าพบแคมเปญที่เป็นอันตรายที่ถูกเปิดเผยครั้งแรกโดยบริษัท GoDaddy ในเดือนพฤศจิกายน 2022 โดยแฮกเกอร์ได้เพิ่มประสิทธิ์ภาพของเว็บไซต์เหล่านี้ให้แสดงในผลลัพธ์ของเครื่องมือค้นหาเพื่อนำผู้ชมไปยังเว็บไซต์อื่น โดยสิ่งสำคัญของแคมเปญในครั้งนี้ คือการใช้ลิงก์ผลการค้นหาของ Bing และบริการย่อลิงก์ (t[.]co) ของ Twitter ร่วมกับ Google ในการเปลี่ยนเส้นทาง

นอกจากนี้ยังมีโดเมน URL ปลอมยอดนิยม เช่น Bitly, Cuttly หรือ ShortURL ที่จะนำพาผู้ชมไปยังเว็บไซต์ Q&A ที่สร้างขึ้นมาโดยแฮกเกอร์ Sucuri ระบุว่าเว็บไซต์ Q&A นั้นเป็นเว็บไซต์ที่เกี่ยวกับ blockchain และ cryptocurrency ซึ่งโดเมน URL เหล่านี้อยู่บน DDoS-Guard ที่เป็นผู้ให้บริการโครงสร้างพื้นฐานอินเทอร์เน็ตของรัสเซียที่ให้บริการป้องกันด้าน DDoS สำหรับโฮสติ้ง และแฮกเกอร์ยังเพิ่มมัลแวร์เข้าไปในไฟล์ wp-blog-header.

WPGateway นั้นเป็น Premium Plugin สำหรับช่วยผู้ดูแลไซต์เพื่อติดตั้ง สำรองข้อมูล และโคลนปลั๊กอินต่าง ๆ รวมถึง WordPress Theme จาก Dashboard ซึ่งถูกพบว่ามีช่องโหว่ 0-Day ที่กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย ซึ่งมันจะอนุญาตให้ผู้ไม่หวังดีเข้าควบคุมไซต์ที่ได้รับผลกระทบได้อย่างสมบูรณ์

Wordfence กล่าวว่ามีการติดตั้ง Plugin นี้ไปแล้วมากกว่า 280,000 เว็บไซต์ และได้ blocked การโจมตีช่องโหว่จาก plugin ดังกล่าวไปแล้วกว่า 4.6 ล้านครั้ง ในช่วง 30 วันที่ผ่านมา

รายละเอียดช่องโหว่

ช่องโหว่มีหมายเลข CVE-2022-3180 (CVSS: 9.8) โดยช่องโหว่นี้กำลังถูกใช้เป็นเครื่องมือให้กับผู้ไม่หวังดีสามารถเพิ่ม Malicious administrator เข้าไปบนเว็บไซต์ที่ใช้ WPGateway plugin ได้โดยที่ไม่ต้องผ่านการตรวจสอบสิทธิ์

โดยหากพบว่ามี Administrator user ที่ชื่อว่า “rangex” อยู่บนเว็บไซต์ที่มีการใช้งาน Plugin ดังกล่าว หมายความว่าเว็ปไซต์นั้นอาจจะถูกโจมตีแล้ว หรือหากพบว่ามี request ไปที่ “//wp-content/plugins/wpgateway/wpgateway-webservice-new.

WordPress Security (Wordfence) เปิดเผยว่า พบช่องโหว่ Zero-Day จาก Plugin ใน WordPress ที่มีชื่อว่า BackupBuddy กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย โดยช่องโหว่ถูกพบครั้งแรกเมื่อวันที่ 26 สิงหาคม 2565 และมีการพยายามที่จะโจมตีกว่า 5 ล้านครั้งแต่ถูก Block ไว้ได้ทั้งหมด

BackupBuddy เป็น Plugin ที่ช่วยให้ผู้ใช้งานสามารถสำรองข้อมูลทั้งหมดของตัวเองใน WordPress เช่นข้อมูลการติดตั้ง WordPress ธีม เพจ โพสต์ วิดเจ็ต ข้อมูลผู้ใช้ และไฟล์มีเดียเป็นต้น

รายละเอียดของช่องโหว่

ช่องโหว่ Zero-Day BackUpBuddy มีหมายเลข CVE-2022-31474 คะแนน CVSS: 7.5 ซึ่งคาดว่ามีเว็บไซต์ที่ใช้งาน Plugin ดังกล่าวอยู่ประมาณ 140,000 เว็บไซต์

โดยช่องโหว่นี้สามารถทำให้ผู้ไม่หวังดีสามารถดาวน์โหลดไฟล์ได้ตามที่ต้องการ โดยไม่ต้องผ่านการตรวจสอบสิทธิ์จากเว็บไซต์ที่ได้รับผลกระทบ ซึ่งปัญหานี้เกิดจากฟังก์ชันที่เรียกว่า "Local Directory Copy" ที่ออกแบบมาเพื่อจัดเก็บสำเนาข้อมูลสำรองในเครื่อง Wordfence ระบุว่า ช่องโหว่เป็นผลมาจากการใช้งานที่ไม่ปลอดภัย ซึ่งช่วยให้ผู้ไม่หวังดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดาวน์โหลดไฟล์ใด ๆ บนเซิร์ฟเวอร์ก็ได้ตามที่ต้องการ

นอกจากนี้ยังมีการรวบรวม IP ที่มีการการโจมตีสูงสุด 10 อันดับแรกตามรายการดังนี้

195.178.120.89 with 1,960,065 attacks blocked
51.142.90.255 with 482,604 attacks blocked
51.142.185.212 with 366770 attacks blocked
52.229.102.181 with 344604 attacks blocked
20.10.168.93 with 341,309 attacks blocked
20.91.192.253 with 320,187 attacks blocked
23.100.57.101 with 303,844 attacks blocked
20.38.8.68 with 302,136 attacks blocked
20.229.10.195 with 277,545 attacks blocked
20.108.248.76 with 211,924 attacks blocked

รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ยังไม่มีการเปิดเผย เนื่องจากการการโจมตีอาจจะเกิดขึ้นเป็นวงกว้าง และเนื่องจากช่องโหว่ดังกล่าวอาจจะสามารถโจมตีได้ง่าย

โดยช่องโหว่อาจทำให้ผู้ไม่หวังดีสามารถเข้าดูเนื้อหาของไฟล์ใด ๆ ก็ตามบนเซิร์ฟเวอร์ที่สามารถอ่านได้จาก WordPress รวมไปถึงไฟล์ที่มีความสำคัญ ซึ่งพบว่าข้อมูลจากการโจมตีส่วนใหญ่เป็นการพยายามเข้าถึงไฟล์ตามรายการด้านล่าง

/etc/passwd
/wp-config.

เมื่อวันที่ 28 มีนาคม พ.ศ. 2565 ที่ผ่านมา นักวิจัยอิสระ Vincent Michel ได้ค้นพบช่องโหว่บน Tatsu Builder ซึ่งเป็นปลั๊กอินของ WordPress
ช่องโหว่ที่เป็นเป้าหมายคือ CVE-2021-25094 ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่ถูกสร้างด้วย Tatsu Builder เวอร์ชันเก่ากว่า 3.3.12 ได้จากนั้น Tatsu Builder ได้ออกแพตช์ในเวอร์ชัน 3.3.13 และแจ้งเตือนให้ผู้ใช้งานอัพเดทในวันที่ 7 เมษายน 2022

อย่างไรก็ตาม นักวิจัยของ Wordfence ซึ่งเป็นบริษัทที่เสนอโซลูชันการรักษาความปลอดภัยสำหรับปลั๊กอิน WordPress ได้ทำการตรวจสอบ พบว่ายังมีเว็บไซต์กว่า 20,000 ถึง 50,000 เว็บไซต์ที่ยังใช้งาน Tatsu Builder เวอร์ชันเก่ากว่า 3.3.12 แม้จะมีแพตช์ในเวอร์ชัน 3.3.13 แล้วก็ตาม   นอกจากนี้ยังมีรายงานว่าพบการโจมตีโดยใช้ช่องโหว่นี้หลายล้านครั้ง ซึ่งในวันที่ 14 พฤษภาคม 2022 พบการโจมตีถึง 5.9 ล้านครั้ง

(more…)