แฮกเกอร์ใช้ปลั๊กอิน WordPress ที่มีช่องโหว่เพื่อโจมตีเว็บไซต์

เผยแพร่แล้ว: 2021-12-23

ปลั๊กอิน WordPress เพื่อโจมตี
แฮกเกอร์ใช้ช่องโหว่ด้านความปลอดภัยล่าสุดที่พบล่าสุดในการโจมตีปลั๊กอิน WordPress มากขึ้นเรื่อยๆ อาชญากรไซเบอร์กำลังตั้งเป้าไปที่เจ้าของเว็บไซต์ที่ไม่สามารถอัปเดตปลั๊กอินและยังคงใช้เวอร์ชันเก่าของช่องโหว่

แฮกเกอร์หลายกลุ่มทำ ในตอนนี้ ผู้เชี่ยวชาญด้านความปลอดภัยรู้จักอย่างน้อยสองกลุ่มที่กำลังโจมตีตัวสร้างโปรไฟล์เวอร์ชันที่ไม่ได้รับการแพตช์ ตัวนำเข้าการสาธิต ThemeGrill และปลั๊กอินทำสำเนา

เหล่านี้เป็นปลั๊กอินที่นิยมมากที่ติดตั้งบนเว็บไซต์จำนวนมาก คาดว่ามีเว็บไซต์หลายแสนแห่งที่เสี่ยงต่อการถูกโจมตีเนื่องจากเจ้าของไม่สามารถอัปเดตปลั๊กอินทั้งสามนี้ได้

ปลั๊กอินที่กล่าวถึงข้างต้นทั้งหมดมีสิ่งหนึ่งที่เหมือนกัน เมื่อเร็ว ๆ นี้นักวิจัยด้านความปลอดภัยได้แบ่งปันรายงานเกี่ยวกับจุดบกพร่องด้านความปลอดภัยที่สำคัญที่พบในปลั๊กอินเหล่านี้ซึ่งอาจนำไปสู่การประนีประนอมเว็บไซต์

หนึ่งในศัตรูที่ผู้เชี่ยวชาญด้านความปลอดภัยเรียกว่า Tonyredball สามารถเข้าถึงเว็บไซต์ WP ที่มีเวอร์ชันที่มีช่องโหว่ของ:

ThemeGrill Demo Importer (ต่ำกว่าเวอร์ชัน 1.6.3) ข้อบกพร่องนี้ทำให้ผู้ใช้สามารถเข้าสู่ระบบได้เหมือนกับผู้ดูแลระบบและล้างฐานข้อมูลทั้งหมด

ตัว สร้างโปรไฟล์ (ต่ำกว่าเวอร์ชัน 3.1.1) จุดบกพร่องนี้ทำให้ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์ได้รับสิทธิ์ของผู้ดูแลระบบด้วย

โทนี่เรดบอล กรุ๊ป
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Defiant ชี้ให้เห็นว่ากลุ่ม Tonyredball ใช้ประโยชน์จากจุดบกพร่องในการลงทะเบียนผู้ดูแลระบบในปลั๊กอิน Profile Builder โดยใช้คำขอทางเว็บที่มีอีเมลและชื่อผู้ใช้ของบัญชีผู้ดูแลระบบใหม่

ในเวลาเดียวกัน ผู้เชี่ยวชาญเชื่อว่ากลุ่มแฮ็กเกอร์นี้มีส่วนร่วมในการโจมตีอื่นๆ มากมายที่ใช้ประโยชน์จากจุดบกพร่องในการลบฐานข้อมูลที่พบในปลั๊กอิน ThemeGrill Demo Importer

เหตุผลในการหาประโยชน์จาก ThemeGrill Demo Importer เป็นจำนวนมาก น่าจะเป็นเพราะความง่ายในการทำ ผู้โจมตีต้องการเพียงส่งคำขอไปยังไซต์ที่มีช่องโหว่ผ่านปลั๊กอิน WordPress และในกรณีของ Profile Builder ผู้โจมตีจะต้องใช้ความพยายามอย่างจริงจังมากขึ้น เพราะพวกเขาควรหารูปแบบที่มีช่องโหว่ก่อน

ผลสุดท้ายของการใช้ช่องโหว่ทั้งสองคือการได้รับสิทธิ์ของผู้ดูแลระบบและความสามารถในการเข้าถึงเว็บไซต์ของเหยื่อ เมื่อได้รับการเข้าถึงแล้ว ด้วยความช่วยเหลือของผู้อัปโหลดธีมและปลั๊กอิน แฮกเกอร์จะอัปโหลดสคริปต์ที่เป็นอันตรายลงในแดชบอร์ดของ WordPress

ผู้คุกคามใช้สคริปต์หลายประเภทที่เกี่ยวข้องกับชื่อไฟล์เช่น wp-block-plugin.php, blockspluginn.php, supersociall.php และ wp-block-plugin.php

หลังจากการหาประโยชน์ครั้งแรก ผู้โจมตีจะส่งเพย์โหลดเพิ่มเติมที่มีจุดประสงค์เพื่อทำให้ไฟล์ติดไวรัสมากขึ้นและแสดงตัวตนในไซต์ที่กว้างขึ้น นอกจากนี้ นักวิจัยตั้งข้อสังเกตว่าผู้เขียนมัลแวร์เริ่มมองหาไซต์ WP อื่นๆ ที่เสี่ยงต่อวิธีการแสวงหาผลประโยชน์แบบเดียวกัน

ในหลายกรณี ผู้โจมตีจะใส่โค้ดที่มุ่งร้ายในไฟล์ JavaScript ที่ถูกต้อง เป้าหมายของการย้ายครั้งนี้คือการโหลดสคริปต์อีกหนึ่งตัวจากเซิร์ฟเวอร์อื่นที่จะเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บไซต์ที่เป็นอันตรายซึ่งควบคุมโดยอาชญากรไซเบอร์

ในขณะนี้ การเปลี่ยนเส้นทางนี้มองเห็นได้ง่ายและไม่ซับซ้อน แต่ผู้กระทำผิดอาจแก้ไขสคริปต์ของตนให้แอบแฝงมากขึ้น

ในกรณีหนึ่ง ผู้เยี่ยมชมถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ชื่อ Talktofranky ซึ่งร้องขอให้กดอนุญาตที่ป๊อปอัปการแจ้งเตือนของเบราว์เซอร์เพื่อพิสูจน์ว่าพวกเขาเป็นคนจริงไม่ใช่บอท หากผู้เยี่ยมชมทำเช่นนั้น พวกเขาอนุญาตให้ไซต์ส่งการแจ้งเตือนต่างๆ รวมถึงสแปม

นี่อาจดูเหมือนเป็นภัยคุกคามเล็กน้อย แต่เจ้าของอุปกรณ์ Mac ที่แฮ็คได้ไม่ง่ายมักจะตกเป็นเหยื่อของกลอุบายดังกล่าว ตัวอย่างเช่น ผู้ใช้พบว่าตัวเองถูกเปลี่ยนเส้นทางไปยังไซต์หลอกลวงเช่น A.akamaihd.net

นักวิจัยด้านความปลอดภัยพบการสนทนาในฟอรัมออนไลน์ที่กล่าวถึงสถานการณ์นี้ โดยบอกว่ามีเหยื่อเพียงไม่กี่ราย

สิ่งที่น่าสนใจคือ การโจมตีทั้งหมดของกลุ่ม Tonyredball มาจาก IP เดียว -45.129.96.17 ตั้งอยู่เอสโตเนียและจัดสรรให้กับผู้ให้บริการโฮสต์ในพื้นที่ที่เรียกว่า GMHost ผู้ให้บริการรายนี้เป็นที่รู้จักกันดีในเรื่องนโยบายที่ไม่ดีซึ่งดึงดูดอาชญากรไซเบอร์จำนวนมากให้มาโฮสต์ที่นั่น ผู้ให้บริการรายนี้ไม่ตอบสนองต่อการร้องเรียน

ยังไม่ชัดเจนว่าจะสามารถโจมตีเว็บไซต์ WordPress ได้มากเพียงใดเนื่องจากปลั๊กอินที่มีช่องโหว่ นักวิจัยคาดการณ์ว่าปลั๊กอิน Profile Builder สามารถติดตั้งได้ในเว็บไซต์ประมาณ 37k ไซต์และ ThemeGrill Demo Importer บนเว็บไซต์ประมาณ 40,000 ไซต์

Solarsalvador1234 กลุ่ม
อีกกลุ่มหนึ่งที่ดูซับซ้อนกว่านั้นเรียกว่า Solarsalvador1234 นักวิจัยจาก Defiant ตั้งชื่อมันว่าเพราะเป็นชื่อของที่อยู่อีเมลที่มักใช้ในคำขอทางเว็บที่นำไปสู่การแสวงหาผลประโยชน์

ผู้คุกคามรายนี้ยังกำหนดเป้าหมายปลั๊กอินสองตัวที่กล่าวถึงข้างต้น แต่นอกเหนือจากนั้น กลุ่ม Solarsalvador1234 ยังมีปลั๊กอิน Duplicator อยู่ในรายการอีกด้วย ปลั๊กอิน WordPress นี้ช่วยในการโคลนและย้ายเว็บไซต์จากที่หนึ่งไปยังอีกที่หนึ่ง มีการติดตั้งที่ใช้งานอยู่มากกว่าหนึ่งล้านครั้ง!

เวอร์ชันของ Duplicator ที่ต่ำกว่า 1.3.28 ได้รับการรายงานว่ามีข้อบกพร่องด้านความปลอดภัยที่อนุญาตให้ผู้เยี่ยมชมที่ไม่ผ่านการตรวจสอบสิทธิ์ดาวน์โหลดไฟล์ต่างๆ จากเว็บไซต์เป้าหมาย

ข้อผิดพลาดนี้มักใช้เพื่อรับไฟล์การกำหนดค่าของไซต์เหยื่อ - wp-config.php ที่เก็บข้อมูลรับรองผู้ใช้เพื่อเข้าถึงฐานข้อมูล เป้าหมายหลักคือการได้รับโอกาสในการเข้าถึงเว็บไซต์ที่ถูกบุกรุกในระยะยาวและยาวนานขึ้น

ดังนั้น ด้วยการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยทั้งสามนี้ ในตอนท้าย ผู้โจมตีจะสามารถเข้าถึงการดูแลระบบเต็มรูปแบบไปยังเว็บไซต์ของเหยื่อได้ สิ่งสำคัญคือต้องเตือนว่าช่องโหว่เหล่านั้นได้รับการเปิดเผยและแก้ไขต่อสาธารณะแล้ว

ในกรณีของการแฮ็ก เจ้าของเว็บไซต์ควรตำหนิตัวเองที่ไม่ปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดและไม่สามารถอัปเดตการโจมตีปลั๊กอิน WordPress ได้ทันเวลา จากสถิติล่าสุดนักวิจัยด้านความปลอดภัยเชื่อว่าเว็บไซต์ประมาณ 800k ยังคงใช้งาน Duplicator เวอร์ชันที่ไม่ได้รับการแก้ไข

มีหลายเหตุผลที่เชื่อได้ว่าปลั๊กอินที่มีช่องโหว่สามตัวที่กล่าวถึงข้างต้นไม่ใช่ปลั๊กอินเดียวที่ถูกโจมตี

ขอย้ำอีกครั้งว่าเจ้าของเว็บไซต์ควรจำไว้เสมอว่าเมื่ออัปเดตความปลอดภัยใด ๆ ออกมา ก็ควรให้ความสำคัญกับการติดตั้ง เนื่องจากแฮกเกอร์โจมตีเว็บไซต์ WordPress มากขึ้นเรื่อยๆ ค้นหาและใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยทั้งเก่าและใหม่ทั้งหมดได้อย่างรวดเร็ว