Black Hat Asia 2023

พบช่องโหว่ใหม่บน WordPress Plugin อาจทำให้ถูกเจาะขโมยข้อมูลได้

พบช่องโหว่บน Google Web Stories plugin สำหรับ WordPress ที่ทำให้สามารถขโมยข้อมูลได้ในระดับ AWS Metadata

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Wordfence research team พบช่องโหว่ใหม่บน Google Web Stories plugin สำหรับ WordPress ในเวอร์ชัน 1.24.0 โดยเป็นช่องโหว่แบบ Server-side request forgery (SSRF) มีรหัส CVE-2022-3708 ทำให้ผู้โจมตีสามารถปลอมแปลง request เพื่อทำการเข้าถึงข้อมูลได้ โดยจากการทดสอบพบว่าสามารถเข้าถึงข้อมูลได้ในระดับของ Amazon Web Services (AWS) metadata เช่น AccessKeyId, SecretAccessKey และ Token ทำให้สามารถขโมยข้อมูล EC2 Instance หรือขโมยข้อมูล log in credential ออกไป เพื่อใช้ในการเข้าถึง VM และรันคำสั่งผ่าน Terminal ได้

ปัจจุบันมีการใช้งาน Google Web Stories plugin อยู่ในเว็บไซต์กว่า 100,000 แห่ง โดยผู้ที่ใช้งานอยู่สามารถอัปเดตไปเป็นเวอร์ชัน 1.25.0 ได้แล้วเพื่ออุดช่องโหว่นี้

ที่ผ่านมามีเหตุการณ์ช่องโหว่ของ WordPress Plugin เกิดขึ้นหลายครั้ง เช่น ในเดือนกุมภาพันธ์ พบการโจมตีแบบ Remote Code Execution (RCE) ผ่านทาง Plugin Essential Addons for Elementor, เดือนพฤษภาคม พบช่องโหว่ RCE ใน Plugin Tatsu Builder และเดือนกันยายนที่ผ่านมา พบการโจมตีผ่านทาง Plugin BackupBuddy ที่ตรวจพบการโจมตีมากกว่า 5 ล้านครั้ง

ที่มา: https://www.darkreading.com/vulnerabilities-threats/google-wordpress-plugin-bug-aws-metadata-theft


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …