นักวิจัยด้านความปลอดภัย Wordfence พบช่องโหว่ CVE -2021-24284 บนปลั๊กอิน Kaswara Modern WPBakery Page Builder ของ Word Press ที่ทำให้แฮกเกอร์สามารถอัปโหลดไฟล์ แทรกโค้ดอันตราย หรือเข้าควบคุมระบบได้โดยไม่ต้องตรวจสอบสิทธิ์ ซึ่งจากรายงานการตรวจพบของทีมรักษาความปลอดภัย Wordfence จาก Word Press พบข้อมูลเพิ่มเติมอีกว่ามีการพยายามเข้าโจมตี โดยอาศัยช่องโหว่ดังกล่าว ตั้งแต่วันที่ 4 ก.ค 65 จนถึงปัจจุบัน เฉลี่ยวันละ 443,868 ครั้ง/วัน
การโจมตีรายวันจับและบล็อกโดย Wordfence
ซึ่งในการโจมตีแต่ละครั้งเกิดจาก IP ที่แตกต่างกันกว่า 10,215 แห่ง โดย 10 IP แรกที่ถูกนำมาใช้ได้แก่
- 217.160.48.108 ได้มีการบล็อคไปแล้วกว่า 1,591,765 ครั้ง
- 5.9.9.29 ได้มีการบล็อคไปแล้วกว่า 898,248 ครั้ง
- 2.58.149.35 ได้มีการบล็อคไปแล้วกว่า 390,815 ครั้ง
- 20.94.76.10 ได้มีการบล็อคไปแล้วกว่า 276,006 ครั้ง
- 20.206.76.37 ได้มีการบล็อคไปแล้วกว่า 212,766 ครั้ง
- 20.219.35.125 ได้มีการบล็อคไปแล้วกว่า 187,470 ครั้ง
- 20.223.152.221 ได้มีการบล็อคไปแล้วกว่า 102,658 ครั้ง
- 5.39.15.163 ได้มีการบล็อคไปแล้วกว่า 62,376 ครั้ง
- 194.87.84.195 ได้มีการบล็อคไปแล้วกว่า 32,890 ครั้ง
ที่อยู่ IP ที่เริ่มการโจมตี (Wordfence)
ทีม Wordfence วิเคราะห์ข้อมูลการโจมตีในครั้งนี้พบว่า แฮกเกอร์จะพยายามอัปโหลดไฟล์ Zip ที่ชื่อว่า a57bze8931.zip และหากการอัปโหลดสำเร็จ ไฟล์จะถูกแตกออกมาเป็นไฟล์ที่ชื่อว่า a57bze8931.php และจะถูกเก็บไว้ที่ /wp-content/uploads/kaswara/icons/ นอกจากนี้ยังมีไฟล์อื่นๆ ที่แฮกเกอร์พยายามจะอัปโหลด ได้แก่
- [xxx]_young.zip โดยที่ [xxx] จะใช้ชื่อแตกต่างกันไป และจะประกอบด้วยอักขระ 3 ตัว เช่น ‘svv_young’
- inject.zip
- king_zip.zip
- null.zip
- plugin.zip
ดังนั้น เพื่อเป็นการป้องกันการถูกคุกคามระบบ แนะนำให้ลบปลั๊กอิน Kaswara Modern WPBakery Page Builder Addons ออกจากเว็บไซต์ไปก่อนจนกว่าจะมีประกาศแก้ไข
ต้นทุนทำเว็บไซต์ wordpress ราคาเท่าไหร่?
ขอบคุณข้อมูลจาก https://www.cyfence.com/it-360/wordpress-plugin-vulnerability-found