426/68 (IT) ประจำวันอังคารที่ 28 ตุลาคม 2568
เกิดแคมเปญโจมตีขนาดใหญ่ที่มุ่งเป้าไปยังเว็บไซต์ WordPress ที่ใช้ปลั๊กอิน GutenKit และ Hunk Companion เวอร์ชันเก่า โดยบริษัทด้านความปลอดภัย Wordfence รายงานว่าได้สกัดกั้นความพยายามโจมตีมากถึง 8.7 ล้านครั้งภายในเวลาเพียงสองวัน (8 และ 9 ตุลาคม) ซึ่งการโจมตีนี้อาศัยช่องโหว่เก่าที่มีความรุนแรงระดับวิกฤต ( CVSS 9.8 ) ซึ่งช่วยให้ผู้โจมตีสามารถติดตั้งปลั๊กอินใดๆ ก็ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ และอาจนำไปสู่การเรียกใช้โค้ดระยะไกล (RCE) บนเซิร์ฟเวอร์ได้ในที่สุด ช่องโหว่ดังกล่าวคือ CVE-2024-9234 ในปลั๊กอิน GutenKit (ซึ่งมีผู้ติดตั้งกว่า 40,000 ราย) และ CVE-2024-9707 กับ CVE-2024-11972 ในปลั๊กอิน Hunk Companion (มีผู้ติดตั้ง 8,000 ราย)
จากการสังเกตข้อมูลการโจมตี Wordfence พบว่าแฮกเกอร์ใช้วิธีโฮสต์ปลั๊กอินอันตรายในรูปแบบไฟล์ .ZIP ชื่อ ‘up’ ไว้บน GitHub ภายในไฟล์นี้มีสคริปต์ที่ถูกปิดบังไว้ (obfuscated) ซึ่งหนึ่งในนั้นปลอมตัวเป็นส่วนประกอบของปลั๊กอิน All in One SEO เพื่อใช้ล็อกอินผู้โจมตีในฐานะผู้ดูแลระบบ (Administrator) โดยอัตโนมัติ เครื่องมือเหล่านี้ช่วยให้ผู้โจมตีสามารถคงสิทธิ์การเข้าถึง, ขโมยหรือลบไฟล์, และสั่งการรันคำสั่งต่างๆ บนเว็บไซต์ได้ ในกรณีที่ไม่สามารถยึดสิทธิ์ผู้ดูแลได้โดยตรง ผู้โจมตีมักจะติดตั้งปลั๊กอินที่มีช่องโหว่อีกตัวคือ ‘wp-query-console’ เพื่อใช้เป็นช่องทางในการทำ RCE แทน
สิ่งที่น่ากังวลคือ ช่องโหว่ทั้งสามนี้มีแพตช์แก้ไขมานานเกือบหนึ่งปีแล้ว โดย Gutenkit 2.1.1 ถูกปล่อยออกมาในเดือนตุลาคม 2024 และ Hunk Companion 1.9.0 ในเดือนธันวาคม 2024 แต่ยังคงมีเว็บไซต์จำนวนมากที่ไม่ได้อัปเดต จึงขอแนะนำให้ผู้ดูแลเว็บไซต์ตรวจสอบและอัปเดตปลั๊กอินทั้งหมดให้เป็นเวอร์ชันล่าสุดโดยด่วน
