พบการโจมตีผ่านช่องโหว่ของปลั๊กอิน Plus Addons for Elementor Pro

office 365

เมื่อประมาณ 10 วันที่ผ่านมา ทาง Wordfence ได้บล็อกการโจมตีผ่านทาง ปลั๊กอิน Plus Addons for Elementor Pro ของ WordPress กว่า 14 ล้านครั้ง

อันที่จริงเมื่อประมาณวันที่ 13 เมษายนที่ผ่านมาทาง Wordfence ได้ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ที่พบในปลั๊กอินนี้ โดยเป็นช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถทำการโจมตีแบบ Cross-Site Scripting

แฮกเกอร์จะใช้ประโยชน์จากการโจมตีนี้เข้าไปแก้ไข Elementor รวมไปถึงเพิ่มไฟล์ JavaScript ลงในโพส เมื่อใดก็ตามหากโพสนั้นมีการถูกเรียกดูหรือแก้ไขโดยผู้ใช้คนอื่นสคริปต์ที่ฝังไปนั้นจะดำเนินการทันที ยิ่งหากผู้เข้าไปดูเป็นผู้ดูแลระบบด้วยแล้ว แฮกเกอร์ก็จะสามารถเข้ายึดเว็บได้ทันที

สำหรับปลั๊กอินที่ได้รับผลกระทบมีดังนี้

  • Essential Addons for Elementor (essential-addons-for-elementor-lite), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 ล้านเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 4.5.4 หมายเลขช่องโหว่คือ CVE-2021-24255 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 4.6.2
  • Elementor – Header, Footer & Blocks Template (header-footer-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 ล้านเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.5.8 หมายเลขช่องโหว่คือ CVE-2021-24256 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
  • Ultimate Addons for Elementor (ultimate-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 6 แสนเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.30.0 หมายเลขช่องโหว่คือ CVE-2021-24271
  • Premium Addons for Elementor (premium-addons-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 4 แสนเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 4.2.8 หมายเลขช่องโหว่คือ CVE-2021-24257 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 4.3.1
  • ElementsKit (elementskit-lite) และ ElementsKit Pro (elementskit), ปลั๊กอินนี้มีการติดตั้งมากกว่า 3 แสนเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.2.0 หมายเลขช่องโหว่คือ CVE-2021-24258 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 2.2.2
  • Elementor Addon Elements (addon-elements-for-elementor-page-builder), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 แสนเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.11.2 หมายเลขช่องโหว่คือ CVE-2021-24259 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.11.5
  • Livemesh Addons for Elementor (addons-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 แสนเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 6.8 หมายเลขช่องโหว่คือ CVE-2021-24260 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 6.9.1
  • HT Mega – Absolute Addons for Elementor Page Builder (ht-mega-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 7 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.5.7 หมายเลขช่องโหว่คือ CVE-2021-24261 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
  • WooLentor – WooCommerce Elementor Addons + Builder (woolentor-addons), ปลั๊กอินนี้มีการติดตั้งมากกว่า 5 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.8.6 หมายเลขช่องโหว่คือ CVE-2021-24262 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.8.7
  • PowerPack Addons for Elementor (powerpack-lite-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 5 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.3.2 หมายเลขช่องโหว่คือ CVE-2021-24263 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
  • Image Hover Effects – Elementor Addon (image-hover-effects-addon-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 4 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.3.4 หมายเลขช่องโหว่คือ CVE-2021-24264 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
  • Rife Elementor Extensions & Templates (rife-elementor-extensions), ปลั๊กอินนี้มีการติดตั้งมากกว่า 3 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.1.6 หมายเลขช่องโหว่คือ CVE-2021-24265 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.1.7
  • The Plus Addons for Elementor Page Builder Lite (the-plus-addons-for-elementor-page-builder), ปลั๊กอินนี้มีการติดตั้งมากกว่า 3 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.0.6 หมายเลขช่องโหว่คือ CVE-2021-24266 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 2.0.7
  • All-in-One Addons for Elementor – WidgetKit (widgetkit-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 2 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.3.10 หมายเลขช่องโหว่คือ CVE-2021-24267 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
  • JetWidgets For Elementor (jetwidgets-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.0.9 หมายเลขช่องโหว่คือ CVE-2021-24268 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
  • Sina Extension for Elementor (sina-extension-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 1 หมื่นเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 3.3.12 หมายเลขช่องโหว่คือ CVE-2021-24269 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา
  • DethemeKit For Elementor (dethemekit-for-elementor), ปลั๊กอินนี้มีการติดตั้งมากกว่า 8 พันเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 1.5.5.5 หมายเลขช่องโหว่คือ CVE-2021-24270 เพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 1.5.6
  • Clever Addons for Elementor (cafe-lite), ปลั๊กอินนี้มีการติดตั้งมากกว่า 8 พันเว็บ
    เวอร์ชั่นที่ได้รับผลกระทบคือเวอร์ชั่นที่ต่ำกว่า 2.1.0 หมายเลขช่องโหว่คือ CVE-2021-24273 แพตช์อัปเดตยังไม่มี แนะนำให้งดใช้จนกว่าแพตช์อัปเดตจะมา

อย่างที่บอกในตอนแรก ตอนนี้การโจมตีแพร่กระจายไปอย่างรวดเร็วมาก ซึ่งสิ่งที่ทีมงานพบว่าการโจมตีที่บล็อกไปกว่า 14 ล้านครั้งนั้นมาจากอีเมล test@example.com และ IP กว่า 38 IP แต่ละ IP สามารถโจมตีเว็บไซต์ได้มากกว่า 10,000 เว็บเลยทีเดียว สำหรับรายละเอียดเกี่ยวกับ IP ชื่อโดเมนที่เป็นอันตราย รวมถึงไฟล์ JavaScript ว่ามีอะไรบ้าง สามารถดูได้ที่ Widespread Attacks Continue Targeting Vulnerabilities in The Plus Addons for Elementor Pro

เบื้องต้นเพื่อเป็นการป้องกันให้ทำการอัปเดตปลั๊กอินเหล่านี้ให้เป็นเวอร์ชั่นล่าสุดเสียจะดีกว่า แต่หากเว็บถูกเจาะไปแล้ว แนะนำให้ดำเนินการดังนี้

  1. ใช้ข้อมูลเดิมจาก Backup ที่เก็บไว้
  2. ทำความสะอาดเว็บ
  3. จ้างมืออาชีพเข้าไปแก้ไขเว็บ ทำความสะอาดเว็บ หรือใช้โปรแกรมเพื่อป้องกัน แน่นอนว่าอาจต้องมีค่าใช้จ่าย

ที่มา: Wordfence