ช่องโหว่ร้ายแรงในปลั๊กอิน WordPress เว็บไซต์มากกว่า 4 ล้านเว็บ เสี่ยงต่อการถูกควบคุมจากระยะไกล

410/67 (IT) ประจำวันอังคารที่ 19 พฤศจิกายน 2567

เมื่อไม่นานมานี้ ได้มีการเปิดเผยช่องโหว่ด้านความปลอดภัยที่สำคัญในปลั๊กอิน Really Simple Security (ชื่อเดิมคือ Really Simple SSL) สำหรับเว็บไซต์ WordPress ช่องโหว่นี้หากถูกโจมตีได้สำเร็จ อาจนำไปสู่การเข้าถึงสิทธิ์ระดับผู้ดูแลระบบจากระยะไกล หมายเลขช่องโหว่คือ CVE-2024-10924 และได้รับคะแนนความรุนแรง CVSS สูงถึง 9.8     

ช่องโหว่ที่ถูกพบในปลั๊กอิน Really Simple Security ส่งผลกระทบทั้งในเวอร์ชันแบบฟรีและแบบพรีเมียม ซึ่งมีการติดตั้งใช้งานในเว็บไซต์ WordPress มากกว่า 4 ล้านเว็บไซต์ โดยปัญหาดังกล่าวเกิดจากการจัดการข้อผิดพลาดในฟังก์ชัน “check_login_and_get_user” ซึ่งเปิดช่องให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้าสู่ระบบเป็นผู้ใช้คนใดก็ได้ รวมถึงบัญชีผู้ดูแลระบบ แม้จะมีการเปิดใช้งานระบบตรวจสอบสิทธิ์แบบสองปัจจัยก็ตาม โดย นาย István Márton นักวิจัยด้านความปลอดภัยจาก Wordfence ระบุว่า “ฟีเจอร์การตรวจสอบปัจจัยสองชั้นที่เพิ่มเข้ามานั้นมีช่องโหว่ ทำให้ผู้โจมตีสามารถเข้าสู่ระบบในฐานะผู้ดูแลระบบได้ง่าย ๆ เพียงแค่ส่งคำขอพื้นฐาน”  โดยหลังการเปิดเผยข้อมูลเมื่อวันที่ 6 พฤศจิกายน 2024 ช่องโหว่นี้ได้รับการแก้ไขในปลั๊กอินเวอร์ชัน 9.1.2 ซึ่งเปิดตัวภายในหนึ่งสัปดาห์ ทั้งนี้ ผู้ดูแลระบบ WordPress ร่วมกับทีมงานปลั๊กอิน ได้ดำเนินการบังคับให้อัปเดตเว็บไซต์ทั้งหมดที่ใช้งานปลั๊กอินเวอร์ชันที่มีช่องโหว่ เพื่อป้องกันการโจมตีก่อนที่จะเผยแพร่รายละเอียดต่อสาธารณะ และสำหรับผู้ใช้งานปลั๊กอินเวอร์ชัน 9.0.0 ถึง 9.1.1.1 จึงควรอัปเดตเป็นเวอร์ชันล่าสุดโดยทันที รวมถึงตรวจสอบกิจกรรมที่น่าสงสัยในเว็บไซต์ของตนด้วย ซึ่งช่องโหว่นี้สามารถถูกโจมตีในลักษณะการทำงานอัตโนมัติขนาดใหญ่ เพื่อควบคุมเว็บไซต์จำนวนมากในเวลาเดียวกัน หากการโจมตีสำเร็จ อาจทำให้ผู้โจมตีเข้าควบคุมเว็บไซต์ WordPress และนำไปใช้ในกิจกรรมผิดกฎหมาย เช่น การปล่อยมัลแวร์หรือขโมยข้อมูล  ดังนั้น เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลเว็บไซต์ควรทำการอัปเดตปลั๊กอินและธีมให้เป็นเวอร์ชันล่าสุดเสมอ และใช้ไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF) เพื่อป้องกันการโจมตี รวมถึงการตรวจสอบความปลอดภัยของเว็บไซต์อย่างสม่ำเสมอ

แหล่งข่าว https://thehackernews.com/2024/11/urgent-critical-wordpress-plugin.html