พบช่องโหว่ Zero-day บน GDPR Plugin ของ WordPress เสี่ยงถูกเข้าควบคุมไซต์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ WordPress ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน WP GDPR Compliance Plugin หนึ่งใน Plugin ยอดนิยมสำหรับผู้ที่ต้องการผ่านข้อกำหนดของ GDPR ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงไซต์ ติดตั้งสคริปต์ Backdoor และเข้าควบคุมระบบทั้งหมดได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่นี้ถูกค้นพบครั้งแรกเมื่อเดือนที่ผ่านมา โดยตอนแรกนั้นพบรายงานของไซต์ที่ถูกแฮ็กบน Support Forum ของ Plugin อื่น แต่ต่อมากลับพบว่า Plugin ดังกล่าวถูกติดตั้งลงไปในฐานะของ Second-stage Payload ของไซต์ที่ถูกโจมตี หลังจากที่ทีมรักษาความมั่นคงปลอดภัยของ WordPress เข้าไปตรวจสอบอย่างละเอียด ก็ได้พบต้นตอของการแฮ็กมาจาก WP GDPR Compliance Plugin ซึ่งถูกติดตั้งลงบนไซต์ที่ถูกแฮ็กเหมือนกันหมด

นักวิจัยด้านความมั่นคงปลอดภัยจาก Defiant ผู้ให้บริการ Wordfence Firewall Plugin สำหรับ WordPress ระบุว่า จนถึงตอนนี้ยังคงตรวจพบการโจมตีที่พยายามเจาะช่องโหว่ของ WP GDPR Compliance Plugin โดยช่องโหว่ดังกล่าวช่วยให้แฮ็กเกอร์สามารถเรียกใช้หนึ่งในฟังก์ชันภายในของ Plugin และเปลี่ยนแปลงการตั้งค่าของทั้ง Plugin และ WordPress CMS ทั้งหมดได้ โดยส่วนใหญ่แฮ็กเกอร์จะใช้ช่องโหว่เพื่อสร้างบัญชีที่ชื่อว่า “t2trollherten” ซึ่งมีสิทธิ์เป็น Admin จากนั้นติดตั้งไฟล์ Backdoor ชื่อ “wp-cache.php” ลงไป ซึ่งเป็นสคริปต์ที่สามารถติดตั้ง Payload อื่นๆ ต่อได้ตามความต้องการของแฮ็กเกอร์

จนถึงตอนนี้พบว่าแฮ็กเกอร์เพียงแค่ติดตั้งสคริปต์ Backdoor ลงบนไซต์ที่ถูกแฮ็ก แต่ก็ยังไม่ได้ทำอะไรที่ไม่พึงประสงค์ต่อผ่าน Backdoor ดังกล่าว เช่น SEP Spam, Exploit Kits, Malwar หรืออื่นๆ แต่ก็แนะนำให้ผู้ดูแลระบบ WordPress ที่ใช้ WP GDPR Compliance ลบ Plugin ออก จัดการ Backdoor ทิ้งไป หรืออัปเดตเป็นเวอร์ชัน 1.4.3 โดยเร็ว

รายละเอียดเชิงเทคนิค: https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/

ที่มา: https://www.zdnet.com/article/zero-day-in-popular-wordpress-plugin-exploited-in-the-wild-to-take-over-sites/