2 เดือนไล่ลบ 4 ครั้ง WordPress เล่นเกมแมวจับหนูกับแฮ็คเกอร์

กลายเป็นเกมแมวจับหนูนานกว่า 2 เดือน เมื่อทีม WordPress ออกมาแจ้งเตือนถึง Backdoor ที่แฝงตัวมากับ Plugin ที่ชื่อว่า Display Widgets โดยแพร่กระจายตัวผ่านทางเว็บไซต์ของ WordPress ถึงแม้ว่าจะลบ Plugin ไปแล้วถึง 4 ครั้ง แฮ็คเกอร์ก็อัปเดตแล้วนำมาลงใหม่ ส่งผลให้มีผู้เสียหายมากกว่า 200,000 ไซต์

โค้ด Backdoor ที่ฝังอยู่ใน Display Widgets Plugin นั้น เริ่มพบตั้งแต่เวอร์ชัน 2.6.1 (ออกเมื่อวันที่ 30 มิถุนายน) ไปจนถึงเวอร์ชัน 2.6.3 (ออกเมื่อวันที่ 2 กันยายน) ซึ่งตอนนี้ทาง WordPress ได้ลบ Plugin ดังกล่าวออกจากเว็บไซต์เป็นที่เรียบร้อยแล้ว แต่คาดว่ามีผู้ที่ดาวน์โหลดไปใช้งานระหว่างนั้นมากกว่า 200,000 ไซต์ ยังไม่นับไซต์ที่อัปเดตจากเวอร์ชันเก่าไปเป็นเวอร์ชันที่มี Backdoor แฝงอยู่อีกด้วย

Display Widgets เป็น Plugin ที่ช่วยให้เจ้าของไซต์ WordPress สามารถควบคุมการแสดง Widget ต่างๆ บนไซต์ของตนเองได้ โดยเริ่มต้นนั้น Strategy11 เป็นบริษัทที่พัฒนา Plugin แบบ Open-source นี้ขึ้นมา แต่หลังจากที่บริษัทเปลี่ยนไปโฟกัสที่เวอร์ชันพรีเมียม บริษัทจึงตัดสินใจที่จะขายเวอร์ชัน Open-source ให้แก่นักพัฒนารายหนึ่งเมื่อช่วงประมาณเดือนพฤษภาคม หลังจากนั้นเพียงหนึ่งเดือน นักพัฒนาคนดังกล่าวก็ได้ออก Display Widgets เวอร์ชันใหม่ คือ 2.6.0 เมื่อวันที่ 21 มิถุนายน

หลังจากออกเวอร์ชันใหม่เพียง 1 วัน David Law นักพัฒนา Plugin คู่แข่งอย่าง Display Widgets SEO Plus ก็ได้ส่งเมลร้องเรียนทีม WordPress ว่า Display Widgets 2.6.0 ละเมิดกฎโดยดาวน์โหลดโค้ดจาก 3rd Party Server ขนาดใหญ่กว่า 38 MB ซึ่งประกอบด้วยฟีเจอร์สำหรับติดตามทราฟฟิกบนเว็บไซต์ ไม่ว่าจะเป็นหมายเลข IP, User-agent, โดเมน และหน้าต่างที่ผู้ใช้กำลังดูอยู่ ส่งกลับไปยัง 3rd Party Server นั้นๆ ส่งผลให้ WordPress ลบ Plugin ออกจากเว็บไซต์ในวันถัดมา

1 สัปดาห์ถัดมา (1 กรกฎาคม) Plugin ดังกล่าวได้กลับมาอีกครั้ง เป็นเวอร์ชัน 2.6.1 ซึ่งมาพร้อมกับไฟล์ 38 MB (geolocation.php) ติดตั้งภายในตัว เพื่อหลีกเลี่ยงการละเมิดกฎของ WordPress อย่างไรก็ตาม Law ก็ค้นพบอีกว่าเวอร์ชันนี้มีการติดตั้ง Backdoor สำหรับให้นักพัฒนา Plugin สามารถเข้าถึงไซต์ WordPress ของผู้ใช้และสร้างหน้า Page หรือ Post ใหม่ได้ นอกเหนือจากการติดตามทราฟฟิก ส่งผลให้ทีม WordPress ลบ Plugin ออกเป็นครั้งที่ 2 ในรอบสัปดาห์

ยังไม่จบเพียงแค่นี้ นักพัฒนา Display Widgets ยังพยายามอัปเดตเวอร์ชันใหม่ 2.6.2 ซึ่งประสบความสำเร็จในการอัปโหลดขึ้นเว็บไซต์ของ WordPress เมื่อวันที่ 6 กรกฎาคมที่ผ่านมา โดยเริ่มแรกนั้นไม่ปรากฏว่ามีพฤติกรรมอันไม่พึงประสงค์ใดๆ อย่างไรก็ตาม วันที่ 23 กรกฎาคม Calvin Ngan ได้ร้องเรียนกับทีม WordPress ระบุว่า Plugin ดังกล่าวได้ทำการสร้างเพจที่ไม่ปรากฏบนหน้า Admin Panel และแฝงด้วยลิงค์สแปมเป็นจำนวนมาก ซึ่งมีเฉพาะผู้ใช้ที่ล็อกเอาท์ไปแล้ว หรือผู้เยี่ยมชมไซต์ทั่วไปเท่านั้น ที่จะเห็นเพจดังกล่าว ส่งผลให้ทีม WordPress ต้องลบ Plugin นี้ออกไปเป็นครั้งที่ 3

อย่างไรก็ตาม นักพัฒนา (หรือเรียกว่าแฮ็คเกอร์ดี) ยังคงไม่ยอมแพ้ วันที่ 2 กันยายน เขาได้อัปโหลดเวอร์ชัน 2.6.3 ขึ้นไปยัง WordPress อีกครั้ง ซึ่งแน่นอนว่าแฝงด้วยพฤติกรรมที่ไม่พึงประสงค์ โดยมีผู้ร้องเรียนว่าเวอร์ชันดังกล่าวมีการสอดแทรกลิงค์สแปมบนไซต์ WordPress สุดท้าย WordPress จึงตัดสินใจลบ Plugin นี้ออกจากเว็บไซต์อย่างถาวร ก่อนที่จะยึด Plugin มาเป็นของตัวเองแล้วออกเวอร์ชันใหม่ 2.7.0 ซึ่งเป็นโค้ดเดียวกับเวอร์ชัน 2.0.5 เวอร์ชันที่ไม่มีมัลแวร์แอบแฝงก่อนที่ Strategy11 จะขาย Plugin ให้กับนักพัฒนาคนใหม่

สำหรับผู้ที่ดาวน์โหลด Display Widgets Plugin มาใช้งาน แนะนำให้ตรวจสอบว่ากำลังใช้งานเวอร์ชัน 2.6.0 – 2.6.3 อยู่หรือไม่ ถ้าใช้ ให้ถอนการติดตั้งหรืออัปเดตเป็นเวอร์ชัน 2.7.0 ทันที

ที่มา: https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-200-000-installations/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Salesforce เปิดตัว Agentforce ซึ่งเป็นการนำเทคโนโลยี AI มาใช้อย่างเต็มรูปแบบ [PR]

Agentforce เป็นแพลตฟอร์มที่ช่วยให้คนและ AI ร่วมมือกันทำงานได้อย่างมีประสิทธิภาพ เพื่อส่งเสริมความสำเร็จให้ลูกค้า โดยมอบระบบเจ้าหน้าที่อัตโนมัติ (Autonomous Agents) ให้กับองค์กรต่าง ๆ ช่วยเพิ่มขีดความสามารถ ประสิทธิภาพ และความพึงพอใจในการให้บริการ การขาย การตลาด …

Intel ประกาศได้งานผลิตชิป AI ให้ AWS พร้อมชะลอการลงทุนในเยอรมันและโปแลนด์

หลังจากการประกาศงบที่ไม่อภิรมย์ต่อนักลงทุนเท่าไหร่นักล่าสุด Intel ก็คว้าสัญญาการผลิตชิป AI จาก AWS ในกระบวนการผลิตแบบ 18A ได้รวมถึงชิปปรับแต่งพิเศษ Xeon 6 ด้วย