2 เดือนไล่ลบ 4 ครั้ง WordPress เล่นเกมแมวจับหนูกับแฮ็คเกอร์

กลายเป็นเกมแมวจับหนูนานกว่า 2 เดือน เมื่อทีม WordPress ออกมาแจ้งเตือนถึง Backdoor ที่แฝงตัวมากับ Plugin ที่ชื่อว่า Display Widgets โดยแพร่กระจายตัวผ่านทางเว็บไซต์ของ WordPress ถึงแม้ว่าจะลบ Plugin ไปแล้วถึง 4 ครั้ง แฮ็คเกอร์ก็อัปเดตแล้วนำมาลงใหม่ ส่งผลให้มีผู้เสียหายมากกว่า 200,000 ไซต์

โค้ด Backdoor ที่ฝังอยู่ใน Display Widgets Plugin นั้น เริ่มพบตั้งแต่เวอร์ชัน 2.6.1 (ออกเมื่อวันที่ 30 มิถุนายน) ไปจนถึงเวอร์ชัน 2.6.3 (ออกเมื่อวันที่ 2 กันยายน) ซึ่งตอนนี้ทาง WordPress ได้ลบ Plugin ดังกล่าวออกจากเว็บไซต์เป็นที่เรียบร้อยแล้ว แต่คาดว่ามีผู้ที่ดาวน์โหลดไปใช้งานระหว่างนั้นมากกว่า 200,000 ไซต์ ยังไม่นับไซต์ที่อัปเดตจากเวอร์ชันเก่าไปเป็นเวอร์ชันที่มี Backdoor แฝงอยู่อีกด้วย

Display Widgets เป็น Plugin ที่ช่วยให้เจ้าของไซต์ WordPress สามารถควบคุมการแสดง Widget ต่างๆ บนไซต์ของตนเองได้ โดยเริ่มต้นนั้น Strategy11 เป็นบริษัทที่พัฒนา Plugin แบบ Open-source นี้ขึ้นมา แต่หลังจากที่บริษัทเปลี่ยนไปโฟกัสที่เวอร์ชันพรีเมียม บริษัทจึงตัดสินใจที่จะขายเวอร์ชัน Open-source ให้แก่นักพัฒนารายหนึ่งเมื่อช่วงประมาณเดือนพฤษภาคม หลังจากนั้นเพียงหนึ่งเดือน นักพัฒนาคนดังกล่าวก็ได้ออก Display Widgets เวอร์ชันใหม่ คือ 2.6.0 เมื่อวันที่ 21 มิถุนายน

หลังจากออกเวอร์ชันใหม่เพียง 1 วัน David Law นักพัฒนา Plugin คู่แข่งอย่าง Display Widgets SEO Plus ก็ได้ส่งเมลร้องเรียนทีม WordPress ว่า Display Widgets 2.6.0 ละเมิดกฎโดยดาวน์โหลดโค้ดจาก 3rd Party Server ขนาดใหญ่กว่า 38 MB ซึ่งประกอบด้วยฟีเจอร์สำหรับติดตามทราฟฟิกบนเว็บไซต์ ไม่ว่าจะเป็นหมายเลข IP, User-agent, โดเมน และหน้าต่างที่ผู้ใช้กำลังดูอยู่ ส่งกลับไปยัง 3rd Party Server นั้นๆ ส่งผลให้ WordPress ลบ Plugin ออกจากเว็บไซต์ในวันถัดมา

1 สัปดาห์ถัดมา (1 กรกฎาคม) Plugin ดังกล่าวได้กลับมาอีกครั้ง เป็นเวอร์ชัน 2.6.1 ซึ่งมาพร้อมกับไฟล์ 38 MB (geolocation.php) ติดตั้งภายในตัว เพื่อหลีกเลี่ยงการละเมิดกฎของ WordPress อย่างไรก็ตาม Law ก็ค้นพบอีกว่าเวอร์ชันนี้มีการติดตั้ง Backdoor สำหรับให้นักพัฒนา Plugin สามารถเข้าถึงไซต์ WordPress ของผู้ใช้และสร้างหน้า Page หรือ Post ใหม่ได้ นอกเหนือจากการติดตามทราฟฟิก ส่งผลให้ทีม WordPress ลบ Plugin ออกเป็นครั้งที่ 2 ในรอบสัปดาห์

ยังไม่จบเพียงแค่นี้ นักพัฒนา Display Widgets ยังพยายามอัปเดตเวอร์ชันใหม่ 2.6.2 ซึ่งประสบความสำเร็จในการอัปโหลดขึ้นเว็บไซต์ของ WordPress เมื่อวันที่ 6 กรกฎาคมที่ผ่านมา โดยเริ่มแรกนั้นไม่ปรากฏว่ามีพฤติกรรมอันไม่พึงประสงค์ใดๆ อย่างไรก็ตาม วันที่ 23 กรกฎาคม Calvin Ngan ได้ร้องเรียนกับทีม WordPress ระบุว่า Plugin ดังกล่าวได้ทำการสร้างเพจที่ไม่ปรากฏบนหน้า Admin Panel และแฝงด้วยลิงค์สแปมเป็นจำนวนมาก ซึ่งมีเฉพาะผู้ใช้ที่ล็อกเอาท์ไปแล้ว หรือผู้เยี่ยมชมไซต์ทั่วไปเท่านั้น ที่จะเห็นเพจดังกล่าว ส่งผลให้ทีม WordPress ต้องลบ Plugin นี้ออกไปเป็นครั้งที่ 3

อย่างไรก็ตาม นักพัฒนา (หรือเรียกว่าแฮ็คเกอร์ดี) ยังคงไม่ยอมแพ้ วันที่ 2 กันยายน เขาได้อัปโหลดเวอร์ชัน 2.6.3 ขึ้นไปยัง WordPress อีกครั้ง ซึ่งแน่นอนว่าแฝงด้วยพฤติกรรมที่ไม่พึงประสงค์ โดยมีผู้ร้องเรียนว่าเวอร์ชันดังกล่าวมีการสอดแทรกลิงค์สแปมบนไซต์ WordPress สุดท้าย WordPress จึงตัดสินใจลบ Plugin นี้ออกจากเว็บไซต์อย่างถาวร ก่อนที่จะยึด Plugin มาเป็นของตัวเองแล้วออกเวอร์ชันใหม่ 2.7.0 ซึ่งเป็นโค้ดเดียวกับเวอร์ชัน 2.0.5 เวอร์ชันที่ไม่มีมัลแวร์แอบแฝงก่อนที่ Strategy11 จะขาย Plugin ให้กับนักพัฒนาคนใหม่

สำหรับผู้ที่ดาวน์โหลด Display Widgets Plugin มาใช้งาน แนะนำให้ตรวจสอบว่ากำลังใช้งานเวอร์ชัน 2.6.0 – 2.6.3 อยู่หรือไม่ ถ้าใช้ ให้ถอนการติดตั้งหรืออัปเดตเป็นเวอร์ชัน 2.7.0 ทันที

ที่มา: https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-200-000-installations/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] งานแถลงข่าวกลุ่มย่อย ในหัวข้อ “The Culture of Innovation” การสร้างวัฒนธรรมของสตาร์ทอัพ กุญแจสู่การสร้างวัฒนธรรมด้านนวัตกรรม ของ อะเมซอน เว็บ เซอร์วิสเซส (ประเทศไทย)

วันที่ 28 มิถุนายน 2565 : Amazon เป็นแพลตฟอร์มที่สร้างสตาร์ทอัพที่ประสบความสำเร็จระดับโลกมากมาย เช่น Netflix, Stripe และ Airbnb ไปจนถึงสตาร์ทอัพในภูมิภาคเอเชียแปซิฟิค ไม่ว่าจะเป็น Grab, …

Effortless: เทรนด์ใหม่ที่เหนือกว่าแค่คำว่าง่าย ในการบริหารจัดการ Enterprise Storage

การบริหารจัดการระบบ IT ได้อย่างง่ายดายนั้นถือเป็นสิ่งที่จะสามารถช่วยให้ผู้ดูแลระบบ IT สามารถทำงานได้อย่างมีประสิทธิภาพมากยิ่งขึ้น แต่นิยามคำว่าง่ายของผู้พัฒนาเทคโนโลยีนั้นก็แตกต่างกันออกไป ทำให้หลายครั้งถึงแม้ว่าระบบ IT หนึ่งๆ จะดูเหมือนว่าสามารถบริหารจัดการได้ง่าย แต่เมื่อใช้งานจริงแล้วกลับต้องพบกับอุปสรรคอย่างมากมาย Pure Storage ในฐานะของผู้นำทางด้านเทคโนโลยี All …