Wordfence ได้ออกมาเผยแพร่รายงานช่องโหว่ปลั๊กอิน AMP บน WordPress แล้ว

จากปัญหาช่องโหว่ปลั๊กอิน AMP บน WordPress ทำให้เกิดการโจมตีแบบ cross-site-scripting (XSS) แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เข้าสู่ระบบด้วยสิทธิ์ที่รับรองความถูกต้อง เพื่อทำการวางโค้ดที่เป็นอันตรายในส่วนของผู้ใช้ หากในกรณีที่ผู้ใช้คนนั้นเป็นแอดมินแฮกเกอร์จะสามารถติดตั้งสคริปต์ PHP backdoor รายละเอียดเพิ่มเติมสามารถดูได้จากรายงานของ Wordfence

โดเมนที่สามารถเข้าถึงการส่งออกสคริปต์:
sslapis.com

ที่อยู่ IP ที่ใช้ในการโจมตี:

  • 181.215.147.23
  • 193.112.161.204
  • 219.145.170.23
  • 192.169.198.104
  • 193.112.65.16
  • 46.101.156.232
  • 193.112.91.155
  • 218.92.252.230
  • 208.109.53.224
  • 41.139.45.78

ข้อมูลที่แสดงว่าเกิดการโจมตี:

  • มีบัญชีรายชื่อที่ไม่ได้อนุญาตในตารางผู้ใช้ ยกตัวอย่างเช่น supportuuser
  • มี JavaScript ที่ไม่ได้ใส่ ซึ่งเชื่อมต่อกับ AMP ปลั๊กอินใน wp_options ภายในประกอบด้วยสตริง amp ในฟิลด์ option_name

ข้อเสนอแนะ :

  • อัปเดตแอปพลิเคชั่น และระบบปฏิบัติการให้เป็นเวอร์ชั่นปัจจุบัน
  • ตรวจสอบว่าโปรแกรมแอนติไวรัสและไฟล์ที่เกี่ยวข้องได้รับการอัปเดตแล้ว
  • คอยตรวจสอบสัญญาณ IoCs (Indicators Of Compromise) ที่ใช้อยู่
  • ทำการบล็อก URL และ IP บน IoCs ด้วยไฟล์วอลล์, บล็อก IDS, web gateways, routers หรืออุปกรณ์ที่เกี่ยวข้อง

ที่มา : IBM X-Force Exchange