ช่องโหว่ของ CMS WordPress ที่ทำให้แฮ็กเกอร์ได้สิทธิ์ผู้ดูแลระบบ

เว็บไซต์ bleepingcomputer รายงานเมื่อ 11 ต.ค.66 ว่า มัลแวร์ชนิดใหม่ที่ปล่อยให้ดาวน์โหลดในหน้าส่วนเสริม (plugin) ของ WordPress อนุญาตให้แฮ็กเกอร์สามารถสร้างแอคเคาท์ระดับผู้ดูแลระบบ มัลแวร์ประเภท Backdoor สามารถซ่อนตัวเองจากผู้ใช้งานได้ติดตั้ง หรือเปลี่ยนเส้นทางทำให้ผู้ใช้บางรายไปยังเว็บไซต์ที่อันตราย

นักวิเคราะห์จาก Defiant ซึ่งเป็นผู้สร้าง plugin รักษาความปลอดภัย Wordfence สำหรับติดตั้งบน WordPress ค้นพบมัลแวร์ตัวใหม่ในเดือน ก.ค. 2566 นักวิจัยสังเกตเห็นว่ามัลแวร์สามารถปลอมแปลงเป็นเครื่องมือแคช ( เป็นเครื่องมือที่ทำให้เว็บไซต์โหลดบนเบราว์เซอร์เร็วขึ้น) โดยนักวิจัยตรวจพบจากไฟล์ WPCache.php ซึ่งทางนักวิจัยก็ยังไม่สามารถฟันธงได้ว่ามาจากปลั๊กอินชื่ออะไร

มัลแวร์มีคุณสมบัติดังต่อไปนี้:

1. User creation – ฟังก์ชันสร้างผู้ใช้ระดับสูงสุด ‘superadmin’ ด้วยรหัสผ่านที่ยากต่อการคาดเดาและมีสิทธิ์เป็นผู้ดูแลระบบเว็บไซต์ นอกจากนี้เมื่อแฮ็กเกอร์เข้าถึงระบบเสร็จก็จะทำการลบร่องรอยการเข้าถึงของแฮ็กเกอร์อีกด้วย
2. Bot detection – เมื่อผู้เยี่ยมชมเว็บไซต์ถูกระบุว่าเป็นบอท (เช่น โปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหา) มัลแวร์จะให้บริการเนื้อหาที่แตกต่างจากเว็บไซต์ นั่นคือการเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย
3. Content replacement – มัลแวร์สามารถแก้ไขโพสต์และเนื้อหาเพจ และแทรกลิงก์ เพื่อให้หน้าเว็บที่โดนฝังโค้ดเปลี่ยนเส้นทางไปสู่เว็บไซต์ที่อันตรายได้
4. Plugin control – แฮ็กเกอร์สามารถเปิดหรือปิดใช้งานปลั๊กอิน WordPress บนเว็บไซต์ที่ถูกบุกรุกได้
5. Remote invocation – แฮ็กเกอร์สามารถเปิดใช้งานฟังก์ชันที่เป็นอันตรายต่างๆ จากระยะไกลได้

ปัจจุบันทางทีม Defiant ก็ไม่ได้ให้รายละเอียดเพิ่มเติม เกี่ยวกับจำนวนเว็บไซต์ที่ถูกโจมตีด้วยมัลแวร์ตัวใหม่นี้

ก่อนหน้านี้ เมื่อ 9 ต.ค.66 มัลแวร์ Balada Injector ใช้ประโยชน์จากช่องโหว่ของปลั๊กอิน WordPress เพื่อโจมตีระบบปฏิบัติการ Linux แฮ็กเกอร์อาศัยประโยชน์จากช่องโหว่เป็นเทคนิคการฝังโค้ดเข้าไปกับหน้าเว็บเพจที่มีช่องโหว่ หรือที่เรียกว่า Cross-site scripting (XSS) มีชื่อรหัสว่า CVE-2023-3169 ใน tagDiv Composer ซึ่งเป็นเครื่องมือที่ติดมากับ Theme ที่ต้องจ่ายเงินซื้อมีชื่อว่า  Newspaper และ Newsmag ตามสถิติของเว็บไซต์ EnvatoMarket Theme Newspaper มียอดขาย 137,000 รายการ และ Newsmag มากกว่า 18,500 รายการ ดังนั้นพื้นที่การโจมตีจึงมี 155,500 เว็บไซต์ ซึ่งไม่รวมการนำ Theme เถื่อนไปติดตั้งบนเว็บไซต์

และ 24 ส.ค.66 ปลั๊กอิน Jupiter X Core สำหรับการตั้งค่าเว็บไซต์ที่เป็นเทมเพลตของ Jupiter X มีผู้ใช้งานThemeนี้ทั่วโลกกว่า 172,000 เว็บไซต์ ก็มีช่องโหว่ให้แฮ็กเกอร์สามารถเข้ามายึดเว็บไซต์ได้ หากไม่ได้อัปเกรด ทางผู้พัฒนา Theme ก็ได้แนะนำให้ผู้ใช้ปลั๊กอิน JupiterX Core อัปเกรดเป็นเวอร์ชัน 3.4.3 โดยเร็วที่สุดเพื่อลดความเสี่ยงที่อาจถูกโจมตี