พบช่องโหว่ในปลั๊กอิน WordPress Duplicator เวอร์ชั่นเก่าของ WordPress

ช่องโหว่นี้เกิดจากการ WordPress Duplicator ไม่ได้ลบไฟล์สำคัญออกไปหลังจากทำการ restore ซึ่งเมื่อมีการ restore แล้วไฟล์ installer.php กับ installer-backup.php จะถูกนำกลับมาใช้ใหม่ Hacker จะใช้ประโยชน์จากช่องโหว่นี้แทรกโค้ด PHP ที่เป็นอันตรายลงในไฟล์ wp-config.php ทำให้ Hacker สามารถสั่งรันโค้ดจากระยะไกลได้

รายละเอียดสามารถดูได้จากรายงาน Synacktiv

นอกจากนี้นักวิจัยจาก Sucuri Peter Gramantik ได้ออกมากล่าวถึงการโจมตีของ Hacker ที่พยายามจะปิดเว็บไซต์ WordPRess โดยการพยายามทำการลบ หรือเขียนไฟล์ทับลงบน wp-config.php ซึ่งการทำเช่นนี้คาดว่าน่าจะเกิดจากช่องโหว่ WordPress Duplicator Plugin

นักวิจัยจาก Sucuri ยังบอกอีกว่า การที่จะโดนโจมตีนี้ได้ จะต้องมีการสร้าง ไฟล์ installer.php จากปลั๊กอิน Duplicator และไฟล์นี้ จะต้องอยู่ใน root ของไซต์ อีกทั้งเวอร์ชั่นของปลั๊กอินนี้จะต้องเป็นเวอร์ชั่นที่ต่ำกว่า 1.2.42 ลงไป

นอกจากนี้ทาง Matt Barry วิศวกรจาก Wordfense ได้ออกมาแจ้งเตือนถึงปัญหาที่เกิดขึ้นนี้เพิ่มเติมว่าช่องโหว่ที่เกิดไม่ได้เกิดแค่ในไดเร็กทอรีของปลั๊กอิน Duplicator เท่านั้น ยังเกิดจากการใช้ปลั๊กอินนี้ในการย้ายข้อมูล หรือ เรียกคืนข้อมูล backed-up ของเว็บ WordPress ที่ได้มีการ Copy ไว้อีกด้วย

ปลั๊กอิน WordPress Duplicator ถูกสร้างขึ้นโดย Snap Creek Software เป็นปลั๊กอินที่ช่วยในการย้ายข้อมูลเว็บไซต์ในระดับ Admin

ในตอนนี้มีผู้ใช้ที่ทำการติตดตั้งปลั๊กอินนี้ถึง 1 ล้านรายแล้ว สำหรับวิธีการป้องกัน ทาง Gramantik ได้แนะนำว่า ควรทำการตรวจสอบโฟล์เดอร์ root และลบไฟล์ installer.php ออกไปเสีย เพราะไฟล์นี้ไม่ได้เป็นไฟล์ที่มีความสำคัญต่อเว็บไซต์ ให้คงเหลือแต่เพียงไฟล์ที่ใช้สำหรับโยกย้ายเว็บไซต์เท่านั้น

ที่มา: Threat Post