พบการโจมตีผ่านปลั๊กอิน Kaswara Modern WPBakery Page Builder Addons

มีการพบการโจมตีผ่านทางปลั๊กอิน Kaswara Modern WPBakery Page Builder Addons ช่องโหว่นี้จะช่วยให้แฮกเกอร์ทำการโจมตีโดยโหลดไฟล์อันตรายลงบนเว็บไซต์ได้ ส่งผลให้เข้ายึดเว็บไซต์ได้
ช่องโหว่นี้ได้ถูกค้นพบเมื่อวันที่ 21 เมษายน 2021 ซึ่งทางทีม Wordfence ได้แจ้งไปยังผู้พัฒนาแล้ว แต่ไม่มีการตอบกลับใดๆ จากทีมผู้พัฒนา ทางทีม Wordfence จึงปิดการใช้งานปลั๊กอินนี้
ซึ่งจากการตรวจสอบเดิมทีปลั๊กอินนี้ได้รับการติดตั้งไปแล้วกว่า 1 หมื่นเว็บ แต่หลังจากทางที่แจ้งเรื่องช่องโหว่ไป จนถึงตอนนี้ยังมี 4 พัน – 8 พันเว็บ ที่ใช้งานปลั๊กอินนี้อยู่
ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 3.0.1 ลงไป มีระดับความรุนแรงคือ 10.0 (สูงมาก) หมายเลขช่องโหว่คือ CVE-2021-24284
ทาง Wordfence รายงานว่า ในตอนนี้ได้ทำการบล็อคการโจมตีผ่านทางช่องโหว่นี้ไปแล้วกว่า 443,868 ครั้งต่อวัน โดยมีเว็บไซต์ที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้ถึง 1,599,852 เว็บไซต์ซึ่งเป็นเว็บไซต์ที่ไม่ซ้ำกัน และเว็บไซต์เหล่านี้ก็ไม่ได้ติดตั้งปลั๊กอิน Kaswara Modern WPBakery Page Builder Addons อีกด้วย
ที่มาภาพ: Wordfence
โดยมี IP Address ที่ถูกนำมาใช้ในการโจมตีครัั้งนี้ประมาณ 10,215 IP 
สำหรับ 10 IP แรกที่ถูกนิยมนำมาใช้ได้แก่
  • 217.160.48.108 ได้มีการบล็อคไปแล้วกว่า 1,591,765 ครั้ง
  • 5.9.9.29 ได้มีการบล็อคไปแล้วกว่า 898,248 ครั้ง
  • 2.58.149.35 ได้มีการบล็อคไปแล้วกว่า 390,815 ครั้ง
  • 20.94.76.10 ได้มีการบล็อคไปแล้วกว่า 276,006 ครั้ง
  • 20.206.76.37 ได้มีการบล็อคไปแล้วกว่า 212,766 ครั้ง
  • 20.219.35.125 ได้มีการบล็อคไปแล้วกว่า 187,470 ครั้ง
  • 20.223.152.221 ได้มีการบล็อคไปแล้วกว่า 102,658 ครั้ง
  • 5.39.15.163 ได้มีการบล็อคไปแล้วกว่า 62,376 ครั้ง
  • 194.87.84.195 ได้มีการบล็อคไปแล้วกว่า 32,890 ครั้ง
  • 194.87.84.193 ได้มีการบล็อคไปแล้วกว่า 31,329 ครั้ง
ที่มาภาพ: Wordfence
จากที่ทีม Wordfence วิเคราะห์ข้อมูลการโจมตีในครั้งนี้พบว่า แฮกเกอร์จะพยายามอัปโหลดไฟล์ Zip ที่ชื่อว่า a57bze8931.zip หากการอัปโหลดสำเร็จ ไฟล์จะถูกแตกออกมาเป็นไฟล์เดียวที่ชื่อว่า a57bze8931.php และจะถูกเก็บไว้ที่ /wp-content/uploads/kaswara/icons/
นอกจากนี้ยังมีไฟล์อื่นๆ ที่แฮกเกอร์พยายามจะอัปโหลดลงไปได้แก่
  • [xxx]_young.zip โดยที่ [xxx] จะใช้ชื่อแตกต่างกันไป และจะประกอบด้วยอักขระ 3 ตัว เช่น ‘svv_young’
  • inject.zip
  • king_zip.zip
  • null.zip
  • plugin.zip
ดังนั้น เพื่อเป็นการป้องกันการโจมตี แนะนำให้ลบปลั๊กอิน Kaswara Modern WPBakery Page Builder Addons ออกจากเว็บไซต์

ที่มา: Wordfence

สนใจอัพเดทข่าวสารเทคโนโลยีติดตามเรา hostatom โฮสติ้งคุณภาพ ดีที่สุดในไทยเลือกใช้โฮสอะตอม