พบช่องโหว่ยังไม่แพตช์บน WordPress เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมไซต์

นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies GmbH ออกมาแจ้งเตือนถึงช่องโหว่ “Authenticated Arbitrary File Deletion” บนฟังก์ชันคอร์ของ WordPress ซึ่งช่วยให้ผู้ใช้สิทธิ์ต่ำสามารถเข้าควบคุมทั้งไซต์และลอบรันโค้ดคำสั่งแปลกปลอมบนเซิร์ฟเวอร์ได้

ช่องโหว่ดังกล่าวถูกค้นพบตั้งแต่ 7 เดือนก่อน เป็นช่องโหว่บนหนึ่งในฟังก์ชันคอร์ของ WordPress ที่รันอยู่เบื้องหลังขณะที่ผู้ใช้ลบไฟล์ Thumbnail ของรูปภาพที่อัปโหลดขึ้นไป อย่างไรก็ตาม จนถึงตอนนี้ยังไม่ได้รับการแพตช์เพื่ออุดช่องโหว่แต่อย่างใด ที่สำคัญคือช่องโหว่นี้ส่งผลกระทบบน WordPress ทุกเวอร์ชันแม้แต่เวอร์ชันล่าสุดอย่าง 4.9.6

นักวิจัยค้นพบว่า ฟังก์ชันลบไฟล์ Thumbnail นั้นมีการตรวจสอบ User Input ไม่ดีเพียงพอ ส่งผลให้ผู้ใช้ที่มีสิทธิ์ระดับ Author ขึ้นไปสามารถลบไฟล์ใดบนเว็บที่โฮสต์อยู่ได้ ถึงแม้จะไม่ใช่เจ้าของไซต์ของผู้ดูแลระบบก็ตาม ไม่เว้นแม้แต่ไฟล์สำคัญอย่าง “.htaccess” ซึ่งเก็บข้อมูลการตั้งค่าด้านความมั่นคงปลอดภัย เพื่อพยายามหยุดการทำงานของระบบป้องกันบน WordPress ได้ หรือไฟล์ “wp-config.php” เพื่อบังคับให้เว็บไซต์ทั้งหมดกลับไปยังหน้าจอติดตั้ง เพื่อเริ่มตั้งค่าเว็บไซต์ใหม่และเข้าควบคุมทั้งเว็บไซต์ เป็นต้น

ดูตัวอย่างการ PoC ช่องโหว่ได้ที่วิดีโอด้านล่าง

จนถึงตอนนี้ WordPress ยังไม่ได้ออกแพตช์เพื่ออุดช่องโหว่ดังกล่าว แต่ผู้ดูแลระบบสามารถใช้ Hotfix ชั่วคราวจาก RIPS Technologies GmbH ได้

รายละเอียดเชิงเทคนิค: https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

ที่มา: https://thehackernews.com/2018/06/wordpress-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เสริมพลังประมวลผลให้ถึงขีดสุด ตอบโจทย์ทุกการทำ Digital Transformation ด้วย HPE Superdome Flex 280 Server

เมื่อธุรกิจต่างหันมาพึ่งพาโลกออนไลน์เป็นหัวใจสำคัญในการดำเนินธุรกิจในแต่ละวัน ไม่ว่าจะเป็นการพัฒนาแอปพลิเคชันเพื่อเป็นช่องทางการขายหรือการให้บริการแก่ลูกค้า, การนำซอฟต์แวร์ ERP หรือ CRM มาใช้เพื่อให้พนักงานสามารถทำงานได้อย่างเป็นระบบ หรือกรณีอื่นๆ แนวโน้มเหล่านี้ได้ส่งผลให้ธุรกิจองค์กรนั้นต้องมองหาแนวทางที่จะทำให้ระบบดิจิทัลเหล่านี้สามารถทำงานได้อย่างมั่นคงทนทานและมั่นคงปลอดภัย เพื่อให้ธุรกิจดำเนินไปได้อย่างต่อเนื่องไม่สะดุดติดขัด

[Guest Post] 5 แนวโน้มธุรกิจไทย หลังประกาศใช้กม.คุ้มครองข้อมูลส่วนบุคคล

ปีนี้นอกจากภาคธุรกิจต้องฟื้นฟูกิจการจากพิษโควิดแล้ว การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะมีผลบังคับใช้ใน 1 มิถุนายนนี้ กำลังเริ่มเป็นที่จับตาของภาคธุรกิจไทยเชื่อมโยงไปถึงธุรกิจโลก เพราะทุกที่กำลังจับตาดูว่าไทยจะใช้กฎหมายนี้อย่างจริงจังขนาดไหน เพื่อเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศที่บังคับกันอย่างจริงจังแล้ว โดยเฉพาะในสหภาพยุโรปซึ่งหากการบังคับใช้ไม่เกิดผลจริงจัง การกีดกันทางการค้าคงมีผลตามมา