พบช่องโหว่ยังไม่แพตช์บน WordPress เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมไซต์

นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies GmbH ออกมาแจ้งเตือนถึงช่องโหว่ “Authenticated Arbitrary File Deletion” บนฟังก์ชันคอร์ของ WordPress ซึ่งช่วยให้ผู้ใช้สิทธิ์ต่ำสามารถเข้าควบคุมทั้งไซต์และลอบรันโค้ดคำสั่งแปลกปลอมบนเซิร์ฟเวอร์ได้

ช่องโหว่ดังกล่าวถูกค้นพบตั้งแต่ 7 เดือนก่อน เป็นช่องโหว่บนหนึ่งในฟังก์ชันคอร์ของ WordPress ที่รันอยู่เบื้องหลังขณะที่ผู้ใช้ลบไฟล์ Thumbnail ของรูปภาพที่อัปโหลดขึ้นไป อย่างไรก็ตาม จนถึงตอนนี้ยังไม่ได้รับการแพตช์เพื่ออุดช่องโหว่แต่อย่างใด ที่สำคัญคือช่องโหว่นี้ส่งผลกระทบบน WordPress ทุกเวอร์ชันแม้แต่เวอร์ชันล่าสุดอย่าง 4.9.6

นักวิจัยค้นพบว่า ฟังก์ชันลบไฟล์ Thumbnail นั้นมีการตรวจสอบ User Input ไม่ดีเพียงพอ ส่งผลให้ผู้ใช้ที่มีสิทธิ์ระดับ Author ขึ้นไปสามารถลบไฟล์ใดบนเว็บที่โฮสต์อยู่ได้ ถึงแม้จะไม่ใช่เจ้าของไซต์ของผู้ดูแลระบบก็ตาม ไม่เว้นแม้แต่ไฟล์สำคัญอย่าง “.htaccess” ซึ่งเก็บข้อมูลการตั้งค่าด้านความมั่นคงปลอดภัย เพื่อพยายามหยุดการทำงานของระบบป้องกันบน WordPress ได้ หรือไฟล์ “wp-config.php” เพื่อบังคับให้เว็บไซต์ทั้งหมดกลับไปยังหน้าจอติดตั้ง เพื่อเริ่มตั้งค่าเว็บไซต์ใหม่และเข้าควบคุมทั้งเว็บไซต์ เป็นต้น

ดูตัวอย่างการ PoC ช่องโหว่ได้ที่วิดีโอด้านล่าง

จนถึงตอนนี้ WordPress ยังไม่ได้ออกแพตช์เพื่ออุดช่องโหว่ดังกล่าว แต่ผู้ดูแลระบบสามารถใช้ Hotfix ชั่วคราวจาก RIPS Technologies GmbH ได้

รายละเอียดเชิงเทคนิค: https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

ที่มา: https://thehackernews.com/2018/06/wordpress-hacking.html