พบการโจมตี 2 ชั้นจากชุด Kits ทำให้แฮกเกอร์รายอื่นสามารถขโมยข้อมูล และเข้าควบคุมเซิร์ฟเวอร์ได้

นักวิจัยจาก Akamai ได้พบช่องโหว่จากการติดตั้ง phishing kits บางตัว ที่ทำให้แฮกเกอร์รายอื่นๆ สามารถอัพโหลดไฟล์ลงบนเซิร์ฟเวอร์ ทำให้แฮกเกอร์สามารถขโมยข้อมูลและเข้าควบคุมเครื่องเซิร์ฟเวอร์ได้

ปกติแล้วการโจมตีจะจำกัดอยู่ที่ไดเรกทอรีของผู้ใช้ ซึ่งหากจะกำจัดก็เพียงแค่ลบชุด Kits นั้นออกไป หรือทำการอัพเดทซอฟต์แวร์ที่มีช่องโหว่นั้น แต่จากการตรวจสอบของนักวิจัย พบว่า การโจมตีของชุด Kits นั้นยังมีอีกชั้นหนึ่ง ซึ่งยังไม่มีใครรู้ในส่วนนี้ ว่าชุด Kits สามารถนำมาปรับใช้เพื่อทำให้เป็น phishing kits ได้อีก โดยอาศัยช่องโหว่ Web Application

เมื่อมีการติดตั้ง phishing kits และทำการอัพโหลดไฟล์ลงไปแล้ว แฮกเกอร์รายอื่นๆ จะสามารถเข้ามายังระบบได้ โดยจะหลบการจรวจจับ ไม่สามารถลบออกได้ แม้จะทำการอัปเดตก็ตาม แฮกเกอร์จะใช้ประโยชน์จากชุด Kits นี้ ลบไฟล์ออกจากระบบได้ หากพวกเขาเป็นเจ้าของโดย HTTP daemon (HTTP daemon เป็นโปรแกรมได้รับการออกแบบให้คอยรับและรักษาการขอ HTTP)

Akamai ได้ทำการตรวจสอบชุด Kits หลายๆ ชุด พบว่าปัญหาหลักก็คือ ชุด Kits เหล่านี้ถูกสร้างขึ้นมาอย่างลวกๆ โดย phishing kits เหล่านี้มีการทำงานแบบเดียวกันก็คือ มีการอัพโหลดไฟล์ที่เป็นช่องโหว่ จากนั้นก็ทำการแชร์โค้ด

แต่ละชุดจะใช้ชื่อใดชื่อหนึ่งเหล่านี้ class.uploader.php, ajax_upload_file.php, และ ajax_remove_file.php โค้ดที่ใช้ในไฟล์เหล่านี้มาจากที่เก็บไฟล์ของ GitHub ที่ได้รับการอัปเดตเมื่อปี 2017 ชื่อไฟล์นั้นไม่สำคัญเท่ากับโค้ดที่ถูกคัดลอกจาก GitHub และการนำดค้ดเหล่านั้นมาวางไว้ใน Kits

ในชุด Kits หลายๆ ชุดโค้ดสำหรับใช้เป็นตัวโหลดสคริปต์และไฟล์ที่ใช้เป็นตัวโหลดไม่ได้มีการตรวจสอบชนิดของไฟล์ ซึ่งผู้ใช้วสใสนถรันไฟล์ที่อัปโหลดไปยัง root ของเว็บได้ และถ้าปลายทางที่อัปโหลดไฟล์ไปไม่มี ตัวอัปโหลดไฟล์จะสร้างขึ้นมาเองเลย

จริงๆ แล้วการที่มี phishing kit อยู่บนเซิร์ฟเวอร์ก็แย่พออยู่แล้ว แต่การใช้ช่องโหว่ของชุด Kits ที่มีอยู่ ยิ่งแย่กกว่า และยิ่งชุด Kits เหล่านี้มักจะถูกอัพโหลดไปยัง WordPress หรือ Joomla อีกด้วย

ทาง Akamai ไม่ได้บอกว่าการโจมตีในระดับที่ 2 นั้นมีใครทำสำเร็จบ้าง และช่องโหว่ที่พบนี้จะสามารถทำได้จริงหรือไม่ แต่คาดว่าเหล่าแฮกเกอร์มีความสามารถในด้านระบบรักษาความปลอดภัย และการติดตามหาบั๊กเพื่อเงินทองและชื่อเสียง อาจเป็นไปได้ว่าพวกเขาจะพบช่องโหว่นี้ และนำมาใช้เพื่อประโยชน์ของตน

ที่มา: Threat Post, Akamai