เว็บไซต์ WordPress ที่ใช้ปลั๊กอิน Ultimate Member กำลังถูกโจมตี

329/66 (IT) ประจำวันอังคารที่ 4 กรกฎาคม 2566

แฮกเกอร์กำลังใช้ประโยชน์จากช่องโหว่ระดับร้ายแรงของปลั๊กอิน WordPress ที่ยังไม่มีการแพตช์ มีหมายเลขช่องโหว่คือ CVE-2023-3460 (คะแนน CVSS: 9.8) เพื่อสร้างบัญชีผู้ดูแลระบบลับ

Ultimate Member เป็นปลั๊กอินยอดนิยมสำหรับสมาชิก WordPress ที่ช่วยให้ผู้ดูแลระบบสามารถสร้างชุมชนออนไลน์ขั้นสูงและเว็บไซต์สมาชิกได้ โดย Ultimate Member จะให้สร้างเว็บไซต์ได้เกือบทุกประเภท ที่ผู้ใช้งานสามารถเข้าร่วมและเป็นสมาชิกได้อย่างง่ายดาย โดยปลั๊กอินนี้ได้มีการติดตั้งใช้งานอยู่มากกว่า 200,000 รายการในขณะนี้ นักวิจัยจากบริษัทรักษาความปลอดภัย WordPress WPScan สังเกตเห็นบัญชีผู้ดูแลระบบใหม่ยังคงปรากฏอยู่บนเว็บไซต์ที่เป็นเป้าหมายของผู้คุกคาม ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้งานใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ ซึ่งสามารถใช้เพื่อควบคุมเว็บไซต์ได้อย่างสมบูรณ์ นักวิจัยอธิบายว่าสาเหตุของปัญหาคือการใช้รายการคีย์ข้อมูลเมตาของผู้ใช้ที่กำหนดไว้ล่วงหน้าซึ่งผู้ใช้งานไม่ควรจัดการ ปลั๊กอินใช้รายการนี้เพื่อตรวจสอบว่าผู้ใช้พยายามลงทะเบียนคีย์เหล่านี้เมื่อสร้างบัญชีใหม่หรือไม่ โดยกลไกการรักษาความปลอดภัยนี้ถือว่าไม่ปลอดภัย    

WPScan ไม่ได้ให้รายละเอียดเกี่ยวกับการโจมตี แต่ได้มีการแชร์ Indicators of Compromise (IoCs) สำหรับการโจมตีนี้ ทั้งนี้ นักวิจัยของ WordFence ยังสังเกตเห็นการโจมตีที่ใช้ประโยชน์จากปัญหานี้ พวกเขาอธิบายว่าข้อบกพร่องยังไม่ได้รับการแก้ไขอย่างเพียงพอในเวอร์ชันล่าสุดที่มีอยู่นี้

แหล่งข่าว ( https://securityaffairs.com/148030/hacking/wordpress-ultimate-member-plugin-attacks.html )