แฮกเกอร์กำลังใช้ช่องโหว่ร้ายแรงในธีม WordPress ยอดนิยมชื่อ Service Finder เพื่อข้ามการยืนยันตัวตน (Authentication Bypass) แล้ว เข้าควบคุมเว็บไซต์ในระดับผู้ดูแลระบบ (Administrator) ได้โดยไม่ต้องใส่รหัสผ่านเลย
ธีม Service Finder เป็นธีมพรีเมียมที่ขายบน Envato (ThemeForest) มีฟีเจอร์ครบครันสำหรับเว็บไซต์บริการ เช่น ระบบจองงาน การจัดการพนักงาน การชำระเงิน การให้คะแนนรีวิว ฯลฯ และเนื่องจากมีการใช้งานแพร่หลาย ทำให้ช่องโหว่นี้กลายเป็นเป้าหมายที่แฮกเกอร์ใช้โจมตีอย่างต่อเนื่อง
รายละเอียดช่องโหว่
ช่องโหว่นี้ได้ถูกระบุในรหัส CVE-2025-5947 และมีคะแนนความร้ายแรงสูงถึง 9.8 เกิดจากการตรวจสอบ cookie original_user_id ในฟังก์ชัน service_finder_switch_back() ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถปลอมเป็นผู้ใช้คนอื่นได้อย่างง่ายดาย แน่นอนว่ารวมถึงบัญชีแอดมินของเว็บไซต์ด้วย โดยสามารถดำเนินการอื่น ๆ อย่าง เพิ่ม/แก้ไขบัญชีผู้ใช้ อัปโหลดไฟล์ PHP แฝงมัลแวร์ ไปจนถึงแก้ไขเนื้อหาเว็บไซต์ หรือแม้แต่ยึดเว็บไปใช้ในทางที่ผิด
ตั้งแต่วันที่ 23 กันยายน 2025 เป็นต้นมา Wordfence ได้รายงานว่าตรวจพบการโจมตีผ่านช่องโหว่นี้ มากกว่า 13,800 ครั้ง หรือเฉลี่ย 1,500 ครั้งต่อวัน โดยรูปแบบการโจมตีที่พบมากที่สุดคือการส่งคำร้องขอ (HTTP GET request) ไปยัง root path ของเว็บไซต์ พร้อมพารามิเตอร์ เพื่อปลอมเป็นผู้ใช้ที่มีอยู่ในระบบ
switch_back=1
รายชื่อ IP ที่ตรวจพบการโจมตีบ่อย
จากการตรวจสอบของ Wordfence ได้ระบุว่ามี IP ที่ใช้โจมตีบ่อยที่สุด 5 รายการ ได้แก่
- 5.189.221.98
- 185.109.21.157
- 192.121.16.196
- 194.68.32.71
- 178.125.204.198
อย่างไรก็ตามแฮกเกอร์สามารถเปลี่ยน IP ได้ตลอดเวลา จึงไม่ควรพึ่งการบล็อก IP เพียงอย่างเดียว
การป้องกันและแนวทางรับมือ
- อัปเดตธีมเป็นเวอร์ชัน 6.1 หรือใหม่กว่าทันที โดยทาง Aonetheme ได้ออกแพตช์แก้ไขเมื่อ 17 กรกฎาคม 2025
- ตรวจสอบ Log ของเว็บไซต์ว่ามีคำขอที่มีคำว่า switch_back หรือไม่
- ตรวจสอบบัญชีผู้ใช้ใหม่ ว่ามีบัญชีแปลกปลอมเพิ่มเข้ามาหรือไม่
- สำรองข้อมูลเว็บไซต์ก่อนอัปเดต
- ติดตั้ง Firewall สำหรับ WordPress เช่น Wordfence หรือ iThemes Security
ติดตั้งและดูแล WordPress อย่างมืออาชีพ (WordPress Managed Hosting)
ที่มา : BleepingComputer