ช่องโหว่ที่สำคัญในปลั๊กอิน WordPress ที่ใช้ประโยชน์ในป่า

เบ็ดเตล็ดDec 19, 2021

บั๊กใน WordPress อาจอนุญาตให้แฮกเกอร์ได้รับสิทธิ์ของผู้ดูแลระบบและล้างข้อมูลจากเว็บไซต์ที่มีช่องโหว่

บั๊กใน WordPress ช่วยให้ผู้โจมตีระยะไกลบนเว็บไซต์บัญชีใหม่ที่มีสิทธิ์ของผู้ดูแลระบบสามารถสร้างและใช้สำหรับการเข้าครอบครองเว็บไซต์โดยสมบูรณ์ แฮกเกอร์ใช้ประโยชน์จากจุดบกพร่องที่สำคัญในปลั๊กอิน WordPress อย่างแข็งขัน ซึ่งทำให้พวกเขาสามารถควบคุมเนื้อหาของเว็บไซต์ได้อย่างสมบูรณ์และแม้กระทั่งล้างออก พบช่องโหว่ Zero-day ในปลั๊กอิน ThemeREX Addons WordPress[1] เมื่อถูกโจมตี ช่องโหว่นี้ทำให้ผู้โจมตีสามารถสร้างบัญชีที่มีสิทธิ์ระดับผู้ดูแลระบบ จึงสามารถเข้ายึดเว็บไซต์ได้

ตามรายงานของ บริษัท รักษาความปลอดภัย Wordfence ระบุว่ามีการติดตั้งปลั๊กอินเฉพาะบนเว็บไซต์อย่างน้อย 44,000 เว็บไซต์ ดังนั้นไซต์เหล่านั้นจึงมีความเสี่ยงทั้งหมด[2] ปลั๊กอินนี้มีธีมและเทมเพลต WordPress เชิงพาณิชย์ 466 รายการสำหรับขาย เพื่อให้ลูกค้าสามารถกำหนดค่าและจัดการธีมได้ง่ายขึ้น

ปลั๊กอินทำงานโดยการตั้งค่าปลายทาง WordPress REST-API แต่ไม่ต้องตรวจสอบว่าคำสั่งที่ส่งไปยัง REST API นี้มาจากเจ้าของไซต์หรือผู้ใช้ที่ได้รับอนุญาตหรือไม่ นี่คือวิธีการเรียกใช้โค้ดจากระยะไกลโดยผู้เยี่ยมชมที่ไม่ผ่านการตรวจสอบสิทธิ์[3]

พบข้อบกพร่องอื่นที่เกี่ยวข้องกับธีม WordPress ในปลั๊กอินโดย ThemeGrill ซึ่งขายธีมเว็บไซต์ให้กับไซต์มากกว่า 200,000 แห่ง ข้อบกพร่องดังกล่าวทำให้ผู้โจมตีสามารถส่งเพย์โหลดเฉพาะไปยังไซต์ที่มีช่องโหว่และเรียกใช้ฟังก์ชันที่ต้องการหลังจากได้รับสิทธิ์ของผู้ดูแลระบบ[4]

รูปแบบของธีม WordPress ที่ถูกโทรจันซึ่งนำไปสู่เซิร์ฟเวอร์ที่ถูกบุกรุก

จากการวิเคราะห์พบว่า ข้อบกพร่องดังกล่าวทำให้เว็บเซิร์ฟเวอร์อย่างน้อย 20,000 แห่งถูกบุกรุกได้ทั่วโลก มันอาจจะนำไปสู่การติดตั้งมัลแวร์ การแสดงโฆษณาที่เป็นอันตราย มากกว่าหนึ่งในห้าของเซิร์ฟเวอร์เหล่านี้เป็นของธุรกิจขนาดกลางที่มีเงินทุนน้อยที่จะทำ เว็บไซต์ที่กำหนดเองมากขึ้น ซึ่งแตกต่างจากบริษัทขนาดใหญ่ ดังนั้นเหตุการณ์ด้านความปลอดภัยดังกล่าวจึงมีความสำคัญใน ความเสียหาย.

การใช้ประโยชน์จาก CMS ที่ใช้กันอย่างแพร่หลายดังกล่าวอาจเริ่มต้นขึ้นในปี 2560 แฮกเกอร์สามารถบรรลุเป้าหมายและประนีประนอมเว็บไซต์ต่างๆ โดยไม่รู้ตัว เนื่องจากเหยื่อขาดความตระหนักในเรื่องความปลอดภัย นอกจากปลั๊กอินที่มีช่องโหว่และข้อบกพร่องอื่นๆ ที่กล่าวถึงแล้ว เว็บไซต์ 30 แห่งที่นำเสนอธีมและปลั๊กอินของ WordPress ยังถูกค้นพบอีกด้วย[5]

ติดตั้งแพ็คเกจโทรจันแล้ว และผู้ใช้ก็แพร่กระจายไฟล์ที่เป็นอันตรายโดยที่ไม่รู้ด้วยซ้ำว่าพฤติกรรมดังกล่าวทำให้ผู้โจมตีสามารถควบคุมเว็บเซิร์ฟเวอร์ได้อย่างเต็มที่ จากที่นั่น การเพิ่มบัญชีผู้ดูแลระบบ การกู้คืนเว็บเซิร์ฟเวอร์ และแม้แต่การเข้าถึงทรัพยากรขององค์กรก็เป็นเรื่องง่าย

นอกจากนี้ มัลแวร์ที่รวมอยู่ในการโจมตีดังกล่าวสามารถ:

  • สื่อสารกับเซิร์ฟเวอร์ C&C ที่แฮ็กเกอร์เป็นเจ้าของ
  • ดาวน์โหลดไฟล์จากเซิร์ฟเวอร์
  • เพิ่มคุกกี้เพื่อรวบรวมข้อมูลผู้เข้าชมต่างๆ
  • รวบรวมข้อมูลเกี่ยวกับเครื่องที่ได้รับผลกระทบ

นอกจากนี้ อาชญากรที่เกี่ยวข้องกับแผนการดังกล่าวสามารถใช้คำหลัก โฆษณาที่เป็นอันตราย และเทคนิคอื่นๆ:

ในหลายกรณี โฆษณานั้นไม่เป็นพิษเป็นภัยอย่างสมบูรณ์ และจะนำผู้ใช้ปลายทางไปยังบริการหรือเว็บไซต์ที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม ในกรณีอื่น เราสังเกตเห็นโฆษณาแบบผุดขึ้นพร้อมท์ให้ผู้ใช้ดาวน์โหลดโปรแกรมที่อาจไม่ต้องการ

WordPress เป็น CMS ที่ได้รับความนิยมมากที่สุดในโลก

รายงานล่าสุดระบุว่าการใช้ CMS ไม่ได้เป็นทางเลือกอีกต่อไปและกำลังเพิ่มขึ้น โดยเฉพาะอย่างยิ่งสำหรับบริษัทระดับองค์กรและแอปพลิเคชันหัวขาดที่ควบคุมเนื้อหาที่แยกจากเลเยอร์การแสดงผลเริ่มต้นหรือประสบการณ์ผู้ใช้ส่วนหน้า[6] ผลการวิจัยพบว่าเมื่อเทียบกับระบบจัดการเนื้อหาอื่นๆ การใช้งาน WordPress เพิ่มขึ้น

นอกจากนี้ องค์กรต่างๆ ยังได้รับประโยชน์อย่างชัดเจนจากการใช้ CMS มากกว่าหนึ่งรายการพร้อมกัน ดังนั้นแนวทางปฏิบัตินี้จึงเป็นที่นิยมมากขึ้นเรื่อยๆ สิ่งนี้มีประโยชน์อย่างยิ่งเมื่อพูดถึงปัญหาด้านช่องโหว่และจุดบกพร่อง หรือปัญหาอื่นๆ ที่เกี่ยวกับบริการ ความเป็นส่วนตัว และความปลอดภัยของเว็บไซต์และข้อมูลสำคัญของคุณ

ขั้นตอนที่เป็นไปได้

นักวิจัยแนะนำองค์กรและผู้ดูแลระบบให้:

  • หลีกเลี่ยงการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์
  • เปิดใช้งานและอัปเดต Windows Defender หรือโซลูชัน AV อื่น
  • หลีกเลี่ยงการใช้รหัสผ่านซ้ำในบัญชีต่างๆ
  • อัพเดท OS เป็นประจำ
  • อาศัยแพตช์ที่มีให้สำหรับช่องโหว่เหล่านั้นและการอัปเดตสำหรับปลั๊กอินบางตัว