แฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ของปลั๊กอิน WordPress ที่รุนแรงที่สุดเท่าที่จะเป็นไปได้

"ปลั๊กอิน WP Automatic ได้รับการติดตั้งแล้ว แต่บันทึกประจำรุ่นไม่ได้กล่าวถึงการแก้ไขที่สำคัญ

แฮกเกอร์โจมตีเว็บไซต์โดยใช้ปลั๊กอิน WordPress ที่โดดเด่นพร้อมความพยายามนับล้านครั้งเพื่อใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงสูงซึ่งทำให้สามารถยึดครองได้อย่างสมบูรณ์ นักวิจัยกล่าว

ช่องโหว่นี้อยู่ใน WordPress Automatic ซึ่งเป็นปลั๊กอินที่มีลูกค้าที่ชำระเงินมากกว่า 38,000 ราย เว็บไซต์ที่ใช้ระบบจัดการเนื้อหา WordPress ใช้เพื่อรวมเนื้อหาจากเว็บไซต์อื่น นักวิจัยจากบริษัทรักษาความปลอดภัย Patchstack เปิดเผยเมื่อเดือนที่แล้วว่า WP Automatic เวอร์ชัน 3.92.0 และต่ำกว่า มีช่องโหว่ด้วยระดับความรุนแรง 9.9 จากคะแนนเต็ม 10 ที่เป็นไปได้ ValvePress ผู้พัฒนาปลั๊กอินได้เผยแพร่แพตช์แบบเงียบๆ ซึ่งมีให้ใช้งานในเวอร์ชัน 3.92 1 และมากกว่านั้น

นักวิจัยได้จำแนกข้อบกพร่องที่ถูกติดตามในชื่อ CVE-2024-27956 ว่าเป็นการแทรก SQL ซึ่งเป็นระดับของช่องโหว่ที่เกิดจากความล้มเหลวของเว็บแอปพลิเคชันในการสืบค้นฐานข้อมูลแบ็กเอนด์อย่างเหมาะสม ไวยากรณ์ SQL ใช้เครื่องหมายอะพอสทรอฟีเพื่อระบุจุดเริ่มต้นและจุดสิ้นสุดของสตริงข้อมูล ด้วยการป้อนสตริงที่มีเครื่องหมายอะพอสทรอฟีในตำแหน่งพิเศษลงในช่องเว็บไซต์ที่มีช่องโหว่ ผู้โจมตีสามารถรันโค้ดที่ดำเนินการที่ละเอียดอ่อนต่างๆ รวมถึงการส่งคืนข้อมูลที่เป็นความลับ ให้สิทธิ์ระบบผู้ดูแลระบบ หรือทำลายวิธีการทำงานของเว็บแอป

ช่องโหว่นี้เป็นอันตรายมากและคาดว่าจะกลายเป็นช่องโหว่ในวงกว้าง นักวิจัยของ Patchstack เขียนเมื่อวันที่ 13 มีนาคม

บริษัทรักษาความปลอดภัยบนเว็บ WPScan กล่าวเมื่อวันพฤหัสบดีว่าได้บันทึกความพยายามในการใช้ประโยชน์จากช่องโหว่นี้มากกว่า 5.5 ล้านครั้งนับตั้งแต่การเปิดเผยเมื่อวันที่ 13 มีนาคมโดย Patchstack WPScan กล่าวว่าความพยายามดังกล่าวเริ่มต้นอย่างช้าๆ และถึงจุดสูงสุดในวันที่ 31 มีนาคม บริษัทไม่ได้บอกว่าความพยายามเหล่านั้นประสบความสำเร็จกี่ครั้ง

WPScan กล่าวว่า CVE-2024-27596 อนุญาตให้ผู้เยี่ยมชมเว็บไซต์ที่ไม่ได้รับการรับรองความถูกต้องสามารถสร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบ อัปโหลดไฟล์ที่เป็นอันตราย และควบคุมไซต์ที่ได้รับผลกระทบได้เต็มรูปแบบ ช่องโหว่นี้อยู่ที่วิธีที่ปลั๊กอินจัดการการรับรองความถูกต้องของผู้ใช้ ทำให้ผู้โจมตีสามารถข้ามกระบวนการตรวจสอบความถูกต้องตามปกติ และส่งโค้ด SQL ที่ให้สิทธิ์ระบบระดับสูงแก่พวกเขาได้ จากนั้น พวกเขาสามารถอัปโหลดและดำเนินการเพย์โหลดที่เป็นอันตรายซึ่งจะเปลี่ยนชื่อไฟล์ที่ละเอียดอ่อนเพื่อป้องกันไม่ให้เจ้าของไซต์หรือแฮกเกอร์รายอื่นควบคุมไซต์ที่ถูกไฮแจ็ก

การโจมตีที่ประสบความสำเร็จมักเป็นไปตามกระบวนการนี้:

SQL Injection (SQLi): ผู้โจมตีใช้ประโยชน์จากช่องโหว่ SQLi ในปลั๊กอิน WP-Automatic เพื่อดำเนินการสืบค้นฐานข้อมูลที่ไม่ได้รับอนุญาต

การสร้างผู้ใช้ของผู้ดูแลระบบ: ด้วยความสามารถในการดำเนินการสืบค้น SQL โดยพลการ ผู้โจมตีสามารถสร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบใหม่ภายใน WordPress

การอัปโหลดมัลแวร์: เมื่อสร้างบัญชีระดับผู้ดูแลระบบแล้ว ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตราย ซึ่งโดยทั่วไปคือเว็บเชลล์หรือประตูหลัง ไปยังเซิร์ฟเวอร์ของเว็บไซต์ที่ถูกบุกรุก

การเปลี่ยนชื่อไฟล์: ผู้โจมตีอาจเปลี่ยนชื่อไฟล์ WP-Automatic ที่มีช่องโหว่ เพื่อให้แน่ใจว่ามีเพียงเขาเท่านั้นที่สามารถใช้ประโยชน์ได้

นักวิจัยของ WPScan อธิบายว่า:

เมื่อไซต์ WordPress ถูกโจมตี ผู้โจมตีจะรับประกันอายุการใช้งานของการเข้าถึงโดยการสร้างแบ็คดอร์และทำให้โค้ดสับสน เพื่อหลบเลี่ยงการตรวจจับและรักษาการเข้าถึง ผู้โจมตีอาจเปลี่ยนชื่อไฟล์ WP-Automatic ที่มีช่องโหว่ ทำให้เจ้าของเว็บไซต์หรือเครื่องมือรักษาความปลอดภัยระบุหรือบล็อกปัญหาได้ยาก เป็นเรื่องที่ควรค่าแก่การกล่าวถึงว่านี่อาจเป็นวิธีที่ผู้โจมตีใช้หลีกเลี่ยงผู้ไม่ประสงค์ดีรายอื่นๆ เพื่อใช้ประโยชน์จากไซต์ที่ถูกบุกรุกอยู่แล้วได้สำเร็จ นอกจากนี้ เนื่องจากผู้โจมตีสามารถใช้สิทธิ์ระดับสูงที่ได้รับในการติดตั้งปลั๊กอินและธีมลงในไซต์ เราสังเกตเห็นว่าในไซต์ที่ถูกบุกรุกส่วนใหญ่ ผู้ไม่หวังดีได้ติดตั้งปลั๊กอินที่อนุญาตให้อัปโหลดไฟล์หรือแก้ไขโค้ดได้

การโจมตีเริ่มขึ้นไม่นานหลังจากวันที่ 13 มีนาคม หรือ 15 วันหลังจากที่ ValvePress เปิดตัวเวอร์ชัน 3.92.1 โดยไม่กล่าวถึงแพตช์สำคัญในบันทึกประจำรุ่น ตัวแทนของ ValvePress ไม่ตอบกลับข้อความทันทีเพื่อขอคำอธิบาย

ในขณะที่นักวิจัยที่ Patchstack และ WPScan กำลังจัดประเภท CVE-2024-27956 เป็นการแทรก SQL นักพัฒนาที่มีประสบการณ์กล่าวว่าการอ่านช่องโหว่ของเขาคือการอนุญาตที่ไม่เหมาะสม (CWE-285) หรือหมวดหมู่ย่อยของการควบคุมการเข้าถึงที่ไม่เหมาะสม (CWE-284)

ตามข้อมูลของ Patchstack.com โปรแกรมควรจะรับและดำเนินการแบบสอบถาม SQL แต่เฉพาะจากผู้ใช้ที่ได้รับอนุญาตเท่านั้น นักพัฒนาที่ไม่ต้องการใช้ชื่อของเขาเขียนในการสัมภาษณ์ออนไลน์ ช่องโหว่อยู่ที่วิธีการตรวจสอบข้อมูลประจำตัวของผู้ใช้ก่อนดำเนินการค้นหา ทำให้ผู้โจมตีสามารถเลี่ยงผ่านการอนุญาตได้ การแทรก SQL เกิดขึ้นเมื่อผู้โจมตีฝังโค้ด SQL ในสิ่งที่ควรจะเป็นเพียงข้อมูล และนั่นไม่ใช่กรณีนี้

ไม่ว่าจะจัดประเภทใดก็ตาม ช่องโหว่นั้นรุนแรงที่สุดเท่าที่จะเป็นไปได้ ผู้ใช้ควรแก้ไขปลั๊กอินทันที พวกเขาควรวิเคราะห์เซิร์ฟเวอร์ของตนอย่างรอบคอบเพื่อหาสัญญาณของการแสวงหาผลประโยชน์โดยใช้ตัวบ่งชี้ข้อมูลที่ถูกบุกรุกที่ให้ไว้ในโพสต์ WPScan ที่ลิงก์ด้านบน"

ผู้เขียน

Ai Base Network (ABN), ABN ASIA ถูกก่อตั้งขึ้นโดยคนที่มีรากฐานลึกในวงการวิชาการ มีประสบการณ์การทำงานในสหรัฐอเมริกา ดัตช์ ฮังการี ญี่ปุ่น เกาหลีใต้ สิงคโปร์ และเวียดนาม ABN Asia เป็นที่เราพบกันของวิทยาลัยและเทคโนโลยี ด้วยโซลูชันขั้นสูงและบริการพัฒนาซอฟต์แวร์ที่มีความสามารถ เราช่วยธุรกิจเติบโตและเข้าสู่ฉากโลก ความมุ่งมั่นของเรา: ด่วนขึ้น ดีขึ้น น่าเชื่อถือมากขึ้น ในกรณีส่วนมาก: ราคาถูกด้วย

หากคุณต้องการบริการ IT การให้คำปรึกษาดิจิทัล โซลูชันซอฟต์แวร์ใช้ได้หรือหากคุณต้องการส่งคำขอข้อเสนอ (RFPs) อย่าลังเลที่จะติดต่อเรา คุณสามารถติดต่อเราได้ที่ [email protected] เราพร้อมช่วยเหลือคุณด้านทุกความต้องการทางเทคโนโลยีของคุณทุกเมื่อ