พบการโจมตีเว็บไซต์ WordPress ผ่านช่องโหว่ zero-day จากปลั๊กอินที่ไม่ใช้แล้ว

ผู้เชี่ยวชาญทางด้านความปลอดภัยของบริษัท Defiant ได้พบช่องโหว่ที่เกิดจากปลั๊กอิน “Total Donations” ช่องโหว่นี้เกิดจาก AJAX endpoint ที่อยู่ในไฟล์ของปลั๊กอิน ทำให้แฮกเกอร์สามารถเรียกใช้คำสั่งจากไฟล์ได้โดยตรง และสามารลบปลั๊กอินด้านความปลอดภัยของเว็บทั้งหมด

แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เปลี่ยนค่าที่ตั้งไว้ในเว็บไซต์ WordPress, เปลี่ยนการตั้งค่าปลั๊กอิน, แก้ไขบัญชีปลายทางที่ได้รับบริจาคผ่านทางปลั๊กอิน และรับรายชื่ออีเมลจาก Mailchimp

หมายเลขช่องโหว่ที่พบนี้คือ CVE-2019-6703 การโจมตี zero-day นี้มีผลกระทบกับปลั๊กอิน “Total Donations” ทุกเวอร์ชั่น โดยซื้อปลั๊กอินนี้มาจาก CodeCanyon ในช่วงหลายปีที่ผ่านมา

ได้มีการเผยแพร่การโจมตีนี้เมื่อประมาณวันศุกร์ที่ผ่านมา และทาง Defiant ได้พยายามติดต่อไปยังผู้พัฒนาปลั๊กอิน แต่ก็ยังไม่มีการตอบกลับมา ผู้พัฒนาเว็บไซต์หลายคนแจ้งว่าปลั๊กอินนี้ไม่ได้รับการอัปเดตปลั๊กอินนี้มาตั้งแต่ประมาณเดือนพฤษภาคม 2018 แล้ว และรายการสินค้าของปลั๊กอิน CodeCanyon ก็ถูกปิดการใช้งานในช่วงเวลาเดียวกันอีกด้วย

สำหรับรายงานรายละเอียดทั้งหมดที่เกี่ยวกับการโจมตีนี้สามารถดูได้ที่ security alert

ที่มา: ZDNet