เตือนช่องโหว่ Zero-day บน WordPress Plugin หลายค่ายกำลังถูกโจมตีจากแฮ็กเกอร์

WordPress ถือเป็น CMS เจ้าหลักของเว็บไซต์ในตลาด โดยระยะหลังมานี้ได้มีการเปิดเผยช่องโหว่บน Plugin ยอดนิยมหลายตัว ซึ่งแฮ็กเกอร์ได้เริ่มจู่โจมไปล่วงหน้าแล้ว ทาง Zdnet จึงได้รวบรวมช่องโหว่ดังกล่าวมาเตือนให้ผู้ใช้เร่งอัปเดตครับ

แทนที่จะโจมตีที่ตัว WordPress โดยตรงการโจมตีในส่วนของ Plugin ก็ได้ผลดีไม่น้อยและคาดว่าจะเป็นกระแสต่อไปในปีนี้ สำหรับ Plugin ที่น่าสนใจมีดังนี้

  • Duplicator – กลางเดือนที่ผ่านมาพบการโจมตีบั๊กใน Plugin ที่ทำให้แฮ็กเกอร์สามารถลอบ Export สำเนาของไซต์ได้ ซึ่งนำไปสู่การ Extract Credentials บนฐานข้อมูลหรือแม้กระทั่งการ Hijack ไซต์ ทั้งนี้มีการอัปเดตแล้วในเวอร์ชัน 1.3.28 แต่ความน่ากังวลคือ Duplicator เป็นปลั๊กอินยอดนิยมที่มีผู้ติดตั้งแล้วกว่า 170,000 ไซต์
  • Profile Builder – Plugin ตัวนี้มีบั๊กทั้งในเวอร์ชันฟรีและเสียเงิน โดยทำให้แฮ็กเกอร์สามารถลงทะเบียนบัญชีแอดมินได้ โดยมีการออกแพตช์มาตั้งแต่ 10 ก.พ. หลังพบการโจมตีตั้งแต่ 24 ม.ค. ปัจจุบันมีผู้ใช้งานทุกเวอร์ชันรวมกันราว 65,000 ไซต์
  • Themegrill Demo Importer – มีผู้ใช้งานราว 200,000 ไซต์ โดยช่องโหว่ทำให้คนร้ายเข้าไปลบไซต์ได้หรือในบางกรณีสามารถเข้ายึดไซต์ได้ด้วย (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
  • Themerex Addon – พบการโจมตีตั้งแต่วันที่ 18 กุมภาพันธ์ โดยแฮ็กเกอร์พบช่องโหว่ Zero-day ที่ช่วยเข้าไปสร้างบัญชีแอดมินได้ อย่างไรก็ตามยังไม่มีแพตช์ดังนั้นจึงแนะนำให้ลบการติดตั้ง (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
  • Flexible Checkout Field for Woocommerce – พบแฮ็กเกอร์ใช้ช่องโหว่ Zero-day เพื่อ Inject XSS Payload ใน Dashboard ที่ล็อกอินด้วยสิทธิ์แอดมิน เพื่อนำไปสู่การลอบสร้างบัญชีระดับแอดมิน

นอกจากนี้ยังมีช่องโหว่ Zero-day ที่นำไปสู่ XSS บน Plugin อื่นอย่าง Async JavaScript, 10Web Map Builder for Google Maps และ Modern Events Calendar Lite ที่มีผู้ใช้กว่า 100,000 200,000 และ 40,000 ตามลำดับ โดย Plugin ที่กล่าวมาทั้งหมดนี้ล้วนแล้วแต่เป็นช่องโหว่ Zero-day ที่ถูกเริ่มโจมตีหรือเป็นเป้าหมายที่คาดว่าแฮ็กเกอร์จะติดพอร์ตไว้ในคลังแสง ดังนั้นหากท่านใดใช้ Plugin ข้างต้นกรุณาอัปเดตแพตช์หรือหาทางป้องกันที่เหมาะสมด้วย

ที่มา :  https://www.zdnet.com/article/hackers-are-actively-exploiting-zero-days-in-several-wordpress-plugins/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ลงทะเบียนเข้าร่วมงาน Dell Technologies Forum 2020 วันนี้รับสิทธิลุ้นโน๊คบุ้ค Dell Latitude 7400 2-in-1 ทันที !!

คุณอาจเป็นหนึ่งในห้าผู้โชคดีที่ได้เป็นเจ้าของ Dell Latitude 7400 2-in-1 โน๊ตบุคระดับพรีเมี่ยมสำหรับธุรกิจที่สามารถปรับเป็นแทปเลตตามความต้องการใช้งานได้ หากคุณลงทะเบียนร่วมงานก่อนวันที่ 31 ตุลาคม 2563 ลงทะเบียนด่วน และเข้าร่วมงาน Dell Technologies Forum เพื่อรับสิทธิ์ในการร่วมชิงเป็นหนึ่งในห้าผู้โชคดีที่จะได้เป็นเจ้าของรางวัล Early Bird ด้วยวิธีง่ายๆ ไม่ยุ่งยาก

วางระบบ AI-Ready Infrastructure ตั้งแต่ขั้นตอนการวิจัยและพัฒนาไปจนถึง Edge-to-Cloud ด้วย Dell Technologies

ในปี 2021 ที่กำลังจะมาถึงนี้ การลงทุนของธุรกิจองค์กรเพื่อพัฒนาระบบ AI สำหรับนำมาใช้งานในภาคธุรกิจนั้นก็ยังคงมีแนวโน้มที่จะเติบโตไปอย่างต่อเนื่อง ซึ่ง Dell Technologies เองก็มีโซลูชันที่พร้อมตอบโจทย์ได้ในทุกความต้องการทางด้าน AI Infrastructure ด้วย Hardware ที่ถูกออกแบบมาโดยเฉพาะสำหรับแต่ละงานสำคัญ ดังนี้