จากปัญหาช่องโหว่ปลั๊กอิน AMP บน WordPress ทำให้เกิดการโจมตีแบบ cross-site-scripting (XSS) แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เข้าสู่ระบบด้วยสิทธิ์ที่รับรองความถูกต้อง เพื่อทำการวางโค้ดที่เป็นอันตรายในส่วนของผู้ใช้ หากในกรณีที่ผู้ใช้คนนั้นเป็นแอดมินแฮกเกอร์จะสามารถติดตั้งสคริปต์ PHP backdoor รายละเอียดเพิ่มเติมสามารถดูได้จาก https://www.wordfence.com/blog/2018/11/xss-injection-campaign-exploits-wordpress-amp-plugin/
โดเมนที่สามารถเข้าถึงการส่งออกสคริปต์:
sslapis.com
ที่อยู่ IP ที่ใช้ในการโจมตี:
- 181.215.147.23
- 193.112.161.204
- 219.145.170.23
- 192.169.198.104
- 193.112.65.16
- 46.101.156.232
- 193.112.91.155
- 218.92.252.230
- 208.109.53.224
- 41.139.45.78
ข้อมูลที่แสดงว่าเกิดการโจมตี:
- มีบัญชีรายชื่อที่ไม่ได้อนุญาตในตารางผู้ใช้ ยกตัวอย่างเช่น supportuuser
- มี JavaScript ที่ไม่ได้ใส่ ซึ่งเชื่อมต่อกับ AMP ปลั๊กอินใน wp_options ภายในประกอบด้วยสตริง amp ในฟิลด์ option_name
ข้อเสนอแนะ :
- อัปเดตแอปพลิเคชั่น และระบบปฏิบัติการให้เป็นเวอร์ชั่นปัจจุบัน
- ตรวจสอบว่าโปรแกรมแอนติไวรัสและไฟล์ที่เกี่ยวข้องได้รับการอัปเดตแล้ว
- คอยตรวจสอบสัญญาณ IoCs (Indicators Of Compromise) ที่ใช้อยู่
- ทำการบล็อก URL และ IP บน IoCs ด้วยไฟล์วอลล์, บล็อก IDS, web gateways, routers หรืออุปกรณ์ที่เกี่ยวข้อง
ที่มา : IBM X-Force Exchange
