เมื่อประมาณ 10 วันที่ผ่านมา ทาง Wordfence ได้บล็อกการโจมตีผ่านทาง ปลั๊กอิน Plus Addons for Elementor Pro ของ WordPress กว่า 14 ล้านครั้ง
อันที่จริงเมื่อประมาณวันที่ 13 เมษายนที่ผ่านมาทาง Wordfence ได้ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ที่พบในปลั๊กอินนี้ โดยเป็นช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถทำการโจมตีแบบ Cross-Site Scripting
แฮกเกอร์จะใช้ประโยชน์จากการโจมตีนี้เข้าไปแก้ไข Elementor รวมไปถึงเพิ่มไฟล์ JavaScript ลงในโพส เมื่อใดก็ตามหากโพสนั้นมีการถูกเรียกดูหรือแก้ไขโดยผู้ใช้คนอื่นสคริปต์ที่ฝังไปนั้นจะดำเนินการทันที ยิ่งหากผู้เข้าไปดูเป็นผู้ดูแลระบบด้วยแล้ว แฮกเกอร์ก็จะสามารถเข้ายึดเว็บได้ทันที
สำหรับปลั๊กอินที่ได้รับผลกระทบมีดังนี้
- Essential Addons for Elementor (essential-addons-for-elementor-lite), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 ล้านเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 4.5.4 หมายเลขช่องโหว่คือ CVE-2021-24255 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 4.6.2
- Elementor – Header, Footer & Blocks Template (header-footer-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 ล้านเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.5.8 หมายเลขช่องโหว่คือ CVE-2021-24256 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
- Ultimate Addons for Elementor (ultimate-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 6 แสนเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.30.0 หมายเลขช่องโหว่คือ CVE-2021-24271
- Premium Addons for Elementor (premium-addons-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 4 แสนเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 4.2.8 หมายเลขช่องโหว่คือ CVE-2021-24257 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 4.3.1
- ElementsKit (elementskit-lite) และ ElementsKit Pro (elementskit), ปลั๊กอินนี้มีการติดตั้งมากกว่า 3 แสนเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.2.0 หมายเลขช่องโหว่คือ CVE-2021-24258 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 2.2.2
- Elementor Addon Elements (addon-elements-for-elementor-page-builder), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 แสนเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.11.2 หมายเลขช่องโหว่คือ CVE-2021-24259 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.11.5
- Livemesh Addons for Elementor (addons-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 แสนเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 6.8 หมายเลขช่องโหว่คือ CVE-2021-24260 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 6.9.1
- HT Mega – Absolute Addons for Elementor Page Builder (ht-mega-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 7 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.5.7 หมายเลขช่องโหว่คือ CVE-2021-24261 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
- WooLentor – WooCommerce Elementor Addons + Builder (woolentor-addons), ปลั๊กอินนี้มีการติดตั้งมากกว่า 5 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.8.6 หมายเลขช่องโหว่คือ CVE-2021-24262 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.8.7
- PowerPack Addons for Elementor (powerpack-lite-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 5 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.3.2 หมายเลขช่องโหว่คือ CVE-2021-24263 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
- Image Hover Effects – Elementor Addon (image-hover-effects-addon-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 4 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.3.4 หมายเลขช่องโหว่คือ CVE-2021-24264 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
- Rife Elementor Extensions & Templates (rife-elementor-extensions), ปลั๊กอินนี้มีการติดตั้งมากกว่า 3 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.1.6 หมายเลขช่องโหว่คือ CVE-2021-24265 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.1.7
- The Plus Addons for Elementor Page Builder Lite (the-plus-addons-for-elementor-page-builder), ปลั๊กอินนี้มีการติดตั้งมากกว่า 3 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.0.6 หมายเลขช่องโหว่คือ CVE-2021-24266 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 2.0.7
- All-in-One Addons for Elementor – WidgetKit (widgetkit-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 2 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.3.10 หมายเลขช่องโหว่คือ CVE-2021-24267 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
- JetWidgets For Elementor (jetwidgets-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.0.9 หมายเลขช่องโหว่คือ CVE-2021-24268 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
- Sina Extension for Elementor (sina-extension-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 หมื่นเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 3.3.12 หมายเลขช่องโหว่คือ CVE-2021-24269 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
- DethemeKit For Elementor (dethemekit-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 8 พันเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.5.5.5 หมายเลขช่องโหว่คือ CVE-2021-24270 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.5.6
- Clever Addons for Elementor (cafe-lite), ปลั๊กอินนี้มีการติดตั้งมากกว่า 8 พันเว็บ เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.1.0 หมายเลขช่องโหว่คือ CVE-2021-24273 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
อย่างที่บอกในตอนแรก ตอนนี้การโจมตีแพร่กระจายไปอย่างรวดเร็วมาก ซึ่งสิ่งที่ทีมงานพบว่าการโจมตีที่บล็อกไปกว่า 14 ล้านครั้งนั้นมาจากอีเมล test@example.com และ IP กว่า 38 IP แต่ละ IP สามารถโจมตีเว็บไซต์ได้มากกว่า 10,000 เว็บเลยทีเดียว สำหรับรายละเอียดเกี่ยวกับ IP ชื่อโดเมนที่เป็นอันตราย รวมถึงไฟล์ JavaScript ว่ามีอะไรบ้าง สามารถดูได้ที่ https://www.wordfence.com/blog/2021/04/widespread-attacks-continue-targeting-vulnerabilities-in-the-plus-addons-for-elementor-pro/
เบื้องต้นเพื่อเป็นการป้องกันให้ทำการอัปเดตปลั๊กอินเหล่านี้ให้เป็นเวอร์ชั่นล่าสุดเสียจะดีกว่า แต่หากเว็บถูกเจาะไปแล้ว แนะนำให้ดำเนินการดังนี้
- ใช้ข้อมูลเดิมจาก Backup ที่เก็บไว้
- ทำความสะอาดเว็บ
- จ้างมืออาชีพเข้าไปแก้ไขเว็บ ทำความสะอาดเว็บ หรือใช้โปรแกรมเพื่อป้องกัน แน่นอนว่าอาจต้องมีค่าใช้จ่าย
ที่มา: Wordfence
