เตือนช่องโหว่ Zero-day บน WordPress Plugin หลายค่ายกำลังถูกโจมตีจากแฮ็กเกอร์

WordPress ถือเป็น CMS เจ้าหลักของเว็บไซต์ในตลาด โดยระยะหลังมานี้ได้มีการเปิดเผยช่องโหว่บน Plugin ยอดนิยมหลายตัว ซึ่งแฮ็กเกอร์ได้เริ่มจู่โจมไปล่วงหน้าแล้ว ทาง Zdnet จึงได้รวบรวมช่องโหว่ดังกล่าวมาเตือนให้ผู้ใช้เร่งอัปเดตครับ

แทนที่จะโจมตีที่ตัว WordPress โดยตรงการโจมตีในส่วนของ Plugin ก็ได้ผลดีไม่น้อยและคาดว่าจะเป็นกระแสต่อไปในปีนี้ สำหรับ Plugin ที่น่าสนใจมีดังนี้

  • Duplicator – กลางเดือนที่ผ่านมาพบการโจมตีบั๊กใน Plugin ที่ทำให้แฮ็กเกอร์สามารถลอบ Export สำเนาของไซต์ได้ ซึ่งนำไปสู่การ Extract Credentials บนฐานข้อมูลหรือแม้กระทั่งการ Hijack ไซต์ ทั้งนี้มีการอัปเดตแล้วในเวอร์ชัน 1.3.28 แต่ความน่ากังวลคือ Duplicator เป็นปลั๊กอินยอดนิยมที่มีผู้ติดตั้งแล้วกว่า 170,000 ไซต์
  • Profile Builder – Plugin ตัวนี้มีบั๊กทั้งในเวอร์ชันฟรีและเสียเงิน โดยทำให้แฮ็กเกอร์สามารถลงทะเบียนบัญชีแอดมินได้ โดยมีการออกแพตช์มาตั้งแต่ 10 ก.พ. หลังพบการโจมตีตั้งแต่ 24 ม.ค. ปัจจุบันมีผู้ใช้งานทุกเวอร์ชันรวมกันราว 65,000 ไซต์
  • Themegrill Demo Importer – มีผู้ใช้งานราว 200,000 ไซต์ โดยช่องโหว่ทำให้คนร้ายเข้าไปลบไซต์ได้หรือในบางกรณีสามารถเข้ายึดไซต์ได้ด้วย (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
  • Themerex Addon – พบการโจมตีตั้งแต่วันที่ 18 กุมภาพันธ์ โดยแฮ็กเกอร์พบช่องโหว่ Zero-day ที่ช่วยเข้าไปสร้างบัญชีแอดมินได้ อย่างไรก็ตามยังไม่มีแพตช์ดังนั้นจึงแนะนำให้ลบการติดตั้ง (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
  • Flexible Checkout Field for Woocommerce – พบแฮ็กเกอร์ใช้ช่องโหว่ Zero-day เพื่อ Inject XSS Payload ใน Dashboard ที่ล็อกอินด้วยสิทธิ์แอดมิน เพื่อนำไปสู่การลอบสร้างบัญชีระดับแอดมิน

นอกจากนี้ยังมีช่องโหว่ Zero-day ที่นำไปสู่ XSS บน Plugin อื่นอย่าง Async JavaScript, 10Web Map Builder for Google Maps และ Modern Events Calendar Lite ที่มีผู้ใช้กว่า 100,000 200,000 และ 40,000 ตามลำดับ โดย Plugin ที่กล่าวมาทั้งหมดนี้ล้วนแล้วแต่เป็นช่องโหว่ Zero-day ที่ถูกเริ่มโจมตีหรือเป็นเป้าหมายที่คาดว่าแฮ็กเกอร์จะติดพอร์ตไว้ในคลังแสง ดังนั้นหากท่านใดใช้ Plugin ข้างต้นกรุณาอัปเดตแพตช์หรือหาทางป้องกันที่เหมาะสมด้วย

ที่มา :  https://www.zdnet.com/article/hackers-are-actively-exploiting-zero-days-in-several-wordpress-plugins/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รีวิว : Acer Swift Go 14 แล็ปท็อปเพื่อธุรกิจที่ความคล่องตัว ขับเคลื่อนด้วย Intel Core i7 เจนเนอเรชัน 13 รุ่นล่าสุด

Acer Swift Go 14 จะเข้ามาเป็นคู่หูที่รู้ใจให้การทำงานในรูปแบบ Working from Anywhere มีความคล่องตัวมากยิ่งขึ้น ด้วยความบางเพียง 14.9 มม. มีน้ำหนักเบาถึง 1.25 กก. …

Kali Linux ออกอัปเดต 2023.2 มาพร้อมเครื่องมือใหม่ 13 ตัวและ pre-built Hyper-V image

Kali Linux ออกอัปเดต 2023.2 มาพร้อมเครื่องมือใหม่ 13 ตัวและ pre-built Hyper-V image