พบช่องโหว่ Zero-day ใน SMTP Plugin บน WordPress

มีการแจ้งเตือนช่องโหว่ Zero-day ในปลั๊กอินของ WordPress ที่ชื่อ ‘Easy WP SMTP’ ซึ่งนำไปสู่การลอบขโมยบัญชีของแอดมินได้

Credit: WordPress

Easy WP SMTP เป็นปลั๊กอินจากค่าย NinTechNet ใช้สำหรับตั้งค่า SMTP บนเว็บไซต์เพื่อส่งอีเมลขาออก โดยเวอร์ชัน 1.4.2 ลงไปมีช่องโหว่ในส่วนของ Debug Log ที่ทำให้คนร้ายสามารถดู Log ของการรีเซ็ตรหัสผ่านที่มีลิงก์ส่งออกไป ด้วยเหตุนี้เองคนร้ายจึงสามารถใช้ช่องโหว่นี้เพื่อขโมยบัญชีแอดมินได้นั่นเอง ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ได้ที่เวอร์ชัน 1.4.4 

ที่มา : https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-to-reset-admin-account-passwords/

from:https://www.techtalkthai.com/zero-day-wordpress-plugin-easy-wp-smtp/

WordPress บังคับอัปเดตแพตช์ให้ปลั๊กอิน Loginizer

หากใครกำลังใช้ปลั๊กอินของ WordPress ยอดนิยมที่ชื่อ Loginizer ล่าสุดมีการค้นพบช่องโหว่ร้ายแรงถึงขึ้นว่าทีมงาน WordPress ต้องบังคับอัปเดตอัตโนมัติ

Loginizer เป็นปลั๊กอินยอดนิยม ซึ่งมีการติดตั้งแล้วกว่า 1 ล้านครั้ง โดยจะช่วยให้ผู้ใช้ทำ Blacklist/Whitelist IP address ของการล็อกอินเพจ รวมไปถึงการทำ 2-factors Authentication และสร้าง CAPTCHAs เพื่อบล็อกความพยายามเข้าถึง และอื่นๆ

ประเด็นคือมีการค้นพบช่องโหว่ SQL Injection อยู่ในส่วนของฟีเจอร์ป้องกัน Brute-force ซึ่งทีมงานอธิบายว่าเมื่อคนร้ายส่ง SQL Injection Statement เข้ามา ระบบจะรู้ว่าเป็นการล็อกอินผิดพลาดแต่ไม่ได้ทำให้ Statement ไร้ผล ด้วยเหตุนี้เองจึงเป็นที่มาของแพตช์ในเวอร์ชัน 1.6.4 ซึ่งทีมงาน WordPress ตีความความว่าร้ายแรงจนกระทั่งต้องใช้กลไกภายใน (Force Plugin Update) บังคับให้ผู้ใช้งานอัปเดตปลั๊กอินอัตโนมัติ

ที่มา : https://www.zdnet.com/article/wordpress-deploys-forced-security-update-for-dangerous-bug-in-popular-plugin/

from:https://www.techtalkthai.com/wordpress-forced-loginizer-plugin-update-automatically/

เตือนช่องโหว่ Zero-days ในปลั๊กอิน WordPress พบคนร้ายเร่งสแกนหาเหยื่อนับล้านครั้ง

Defiant ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบน WordPress ได้ออกมาเตือนว่าพบคนร้ายพยายามสแกนหาช่องโหว่ Zero-days บนปลั๊กอินของ WordPress ที่ชื่อ ‘File Manager’ โดยเฉพาะในส่วนของที่บริษัทพบนั้นก็มีปริมาณเกิน 1 ล้านครั้งแล้วในวันที่ 4 กันยายนที่ผ่านมา

credit : WordPress.org

File Manager เป็นปลั๊กอินที่ได้รับความนิยมพอสมควร โดยมียอดการติดตั้งใช้บน 700,000 เว็บไซต์ ทั้งนี้มีช่องโหว่ Zero-days ที่ทำให้คนร้ายสามารถอัปโหลดไฟล์แบบไม่ต้องพิสูจน์ตัวตน ซึ่งนำไปสู่การอัปโหลด Web Shell เพื่อแทรกแซงไฟล์บนเซิร์ฟเวอร์เหยื่อหรือเข้ายึดไซต์ได้

ถึงแม้ว่ายังไม่ทราบถึงวิธีการที่แฮ็กเกอร์พบช่องโหว่แต่ Defaint ยืนยันได้แน่ชัดว่าตั้งแต่ต้นเดือนกันยายนมีความพยายามสแกนหาเว็บไซต์ที่ติดตั้งปลั๊กอินนี้ โดยเฉพาะวันที่ 4 กันยายนวันเดียวมีปริมาณการโจมตีสูงขึ้นกว่า 1 ล้านครั้ง ปัจจุบันทางทีมงาน File Manager ได้ออกแพตช์มาให้แก้ไขกันแล้ว ดังนั้นผู้เกี่ยวข้องก็ควรอัปเดตกันนะครับ

ที่มา : https://www.zdnet.com/article/millions-of-wordpress-sites-are-being-probed-attacked-with-recent-plugin-bug/

from:https://www.techtalkthai.com/million-exploit-attempts-the-zero-day-vulnerability-in-file-manager-wordpress-plugin/

พบช่องโหว่บนปลั๊กอิน Newsletter บน WordPress แนะผู้ใช้เร่งอัปเดต

Wordfence ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยถึงช่องโหว่บนปลั๊กอิน Newsletter 2 รายการ โดยคาดว่าส่งผลกระทบต่อเว็บไซต์กว่า 300,000 แห่ง

credit : https://wordpress.org/plugins/newsletter/

Newsletter เป็นปลั๊กอินบน WordPress ที่มียอดการใช้งานในเว็บไซต์กว่า 3 แสนแห่งในปัจจุบัน ซึ่งประเด็นคือเมื่อเดือนก่อนทีม Wordfence ได้พบช่องโหว่ XSS และ PHP Injection ที่สามารถนำไปสู่การลอบสร้างบัญชีแอดมินหรือ inject backdoor ในไซต์ที่ใช้งานปลั๊กอินนี้ อย่างไรก็ดีปัจจุบันทางทีมงานได้แจ้งแก่ผู้พัฒนาจนออกแพตช์มาแล้วในเวอร์ชัน 6.8.3 เมื่อกลางเดือนก่อน ประเด็นคือถึงทุกวันนี้ยังมีจำนวนผู้ดาวน์โหลดไปแค่ครึ่งเดียว นั่นแปลว่ายังมีผู้ใช้งานกว่าครึ่งมีรูรั่วอยู่นั่นเอง 

ที่มา :  https://www.bleepingcomputer.com/news/security/newsletter-plugin-bugs-let-hackers-inject-backdoors-on-300k-sites/

from:https://www.techtalkthai.com/wordpress-newsletter-plugin-was-patched-in-version-6-8-3/

แฮ็กเกอร์โจมตีเว็บไซต์ WordPress กว่า 900,000 แห่งในสัปดาห์ที่ผ่านมา

Wordfence ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบน WordPress ได้เตือนถึงแคมเปญการโจมตีเว็บไซต์ WordPress กว่า 900,000 ภายในสัปดาห์เดียวที่ผ่านมา ด้วยการใช้ช่องโหว่ใน Plugin และ Theme

ผู้เชี่ยวชาญพบว่าตั้งแต่วันที่ 28 เมษายนเริ่มมีความพยายามในการโจมตีเว็บไซต์ WordPress แต่ปริมาณเพิ่มขึ้นสูงสุดในวันที่ 3 พฤษภาคมคือมีการโจมตีเว็บไซต์มากกว่า 500,000 ครั้ง จุดประสงค์หลักของกลุ่มแฮ็กเกอร์คือการ Inject เว็บไซต์เป้าหมายด้วย JavaScript อันตรายเพื่อ Redirect ผู้เยี่ยมชมไปยังเว็บไซต์อันตรายผ่านช่องโหว่ XSS นอกจากนี้ยังมีการตรวจสอบผู้ชมด้วยว่าเป็นผู้ดูแลที่ล็อกอินอยู่หรือไม่ เพื่อหาโอกาสฝัง Backdoor ผู้ดูแลที่อาจไม่ทันสังเกต

Wordfence ยังพบว่าคนร้ายได้ใช้ฐานการโจมตีมาจาก IP ต่างกันกว่า 24,000 แห่งเพื่อโจมตี โดยช่องโหว่หลักๆ ที่คนร้ายใช้คือ

• XSS ในปลั๊กอิน Easy2Map
• XSS ในปลั๊กอิน Blog Designer
• XSS ใน Newspaper Theme
• ช่องโหว่ Option Update ในปลั๊กอิน Total Donations
• ช่องโหว่ Option Update ในปลั๊กอิน WP GDPR Compliance

อย่างไรก็ตามผู้เชี่ยวชาญแนะว่าคนร้ายอาจจใช้ช่องโหว่อื่นๆ เพิ่มได้ในอนาคตหรืออาจจะหาช่องโหว่ใหม่มาเอง จึงแนะนำให้ผู้ดูแลระมัดระวังอัปเดตส่วนประกอบที่ใช้งาน หรือหา WAF ในรูปแบบของปลั๊กมาใช้งานก็ได้ครับ

ที่มา :  https://www.zdnet.com/article/a-hacker-group-tried-to-hijack-900000-wordpress-sites-over-the-last-week/ และ  https://www.securityweek.com/nearly-1-million-wordpress-sites-targeted-old-vulnerabilities

from:https://www.techtalkthai.com/wordfence-found-900000-wordpress-site-were-attacked-in-past-week/

พบช่องโหว่บน WordPress Plugin คาดกระทบผู้ใช้กว่าเว็บไซต์ แนะเร่งอัปเดต

Defiant ผู้เชี่ยวชาญด้าน WordPress Security ได้ออกเตือนถึง 2 ช่องโหว่ที่เกิดขึ้นบน Plugin ที่ชื่อ Popup Builder โดยคาดว่ามีผู้ได้รับผลกระทบกว่า 1 แสนเว็บไซต์ จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต

Credit:alexmillos/ShutterStock

Popup Builder เป็น Plugin ที่ออกแบบมาสำหรับช่วย สร้าง Deploy และจัดการ Popup เพื่อการโฆษณา ซึ่งมีความสามารถในการรันโค้ด JavaScript หรือ HTML

ประเด็นก็คือมีการค้นพบช่องโหว่หมายเลข CVE-2020-10196 ที่เกิดขึ้นเพราะว่า Plugin ได้มีการ Register AJAX Hook เพื่อทำการ Auto-saving Draft ของ Popup เอาไว้แต่กลับถูกใช้ได้จากผู้โจมตีที่ไม่ได้มีสิทธิ์ โดยคนร้ายสามารถส่ง Post Request ไปยัง wp-admin/admin-ajax.php พร้อมกับ JavaScript Payload อันตรายให้บันทึกไว้ก่อนแล้วค่อยไป Execute เมื่อแสดง Popup ทั้งนี้อาจใช้ Redirect ผู้ใช้ไปยังเว็บไซต์อันตรายได้หรือเข้ายึดไซต์หากเหยื่อมีการล็อกอินระดับผู้ดูแลอยู่

อีกช่องโหว่คือ CVE-2020-10195 สามารถทำให้คนร้ายในสิทธิ์ระดับต่ำสามารถ Export รายชื่อของ Subscriber ใน newsletter และรายละเอียดการตั้งค่าของระบบหรือเข้าถึงฟีเจอร์ของ Plugin ทั้งนี้ช่องโหว่ทั้งสองถูกแพตช์แล้วในเวอร์ชัน 3.64.1 จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ ปัจจุบันมีการอัปเดตจากผู้ใช้งานเพียง 33,000 เว็บไซต์คาดว่ายังเหลือเหยื่ออีกมากกว่า 60,000 แห่ง

ที่มา :  https://www.securityweek.com/flaws-popup-builder-plugin-impacted-over-100000-wordpress-sites และ  https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-allows-malicious-code-injection-on-100k-sites/

from:https://www.techtalkthai.com/wordpress-popup-builder-plugin-vulnerabilities-found/

เตือนช่องโหว่ Zero-day บน WordPress Plugin หลายค่ายกำลังถูกโจมตีจากแฮ็กเกอร์

WordPress ถือเป็น CMS เจ้าหลักของเว็บไซต์ในตลาด โดยระยะหลังมานี้ได้มีการเปิดเผยช่องโหว่บน Plugin ยอดนิยมหลายตัว ซึ่งแฮ็กเกอร์ได้เริ่มจู่โจมไปล่วงหน้าแล้ว ทาง Zdnet จึงได้รวบรวมช่องโหว่ดังกล่าวมาเตือนให้ผู้ใช้เร่งอัปเดตครับ

แทนที่จะโจมตีที่ตัว WordPress โดยตรงการโจมตีในส่วนของ Plugin ก็ได้ผลดีไม่น้อยและคาดว่าจะเป็นกระแสต่อไปในปีนี้ สำหรับ Plugin ที่น่าสนใจมีดังนี้

• Duplicator – กลางเดือนที่ผ่านมาพบการโจมตีบั๊กใน Plugin ที่ทำให้แฮ็กเกอร์สามารถลอบ Export สำเนาของไซต์ได้ ซึ่งนำไปสู่การ Extract Credentials บนฐานข้อมูลหรือแม้กระทั่งการ Hijack ไซต์ ทั้งนี้มีการอัปเดตแล้วในเวอร์ชัน 1.3.28 แต่ความน่ากังวลคือ Duplicator เป็นปลั๊กอินยอดนิยมที่มีผู้ติดตั้งแล้วกว่า 170,000 ไซต์
• Profile Builder – Plugin ตัวนี้มีบั๊กทั้งในเวอร์ชันฟรีและเสียเงิน โดยทำให้แฮ็กเกอร์สามารถลงทะเบียนบัญชีแอดมินได้ โดยมีการออกแพตช์มาตั้งแต่ 10 ก.พ. หลังพบการโจมตีตั้งแต่ 24 ม.ค. ปัจจุบันมีผู้ใช้งานทุกเวอร์ชันรวมกันราว 65,000 ไซต์
• Themegrill Demo Importer – มีผู้ใช้งานราว 200,000 ไซต์ โดยช่องโหว่ทำให้คนร้ายเข้าไปลบไซต์ได้หรือในบางกรณีสามารถเข้ายึดไซต์ได้ด้วย (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
• Themerex Addon – พบการโจมตีตั้งแต่วันที่ 18 กุมภาพันธ์ โดยแฮ็กเกอร์พบช่องโหว่ Zero-day ที่ช่วยเข้าไปสร้างบัญชีแอดมินได้ อย่างไรก็ตามยังไม่มีแพตช์ดังนั้นจึงแนะนำให้ลบการติดตั้ง (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
• Flexible Checkout Field for Woocommerce – พบแฮ็กเกอร์ใช้ช่องโหว่ Zero-day เพื่อ Inject XSS Payload ใน Dashboard ที่ล็อกอินด้วยสิทธิ์แอดมิน เพื่อนำไปสู่การลอบสร้างบัญชีระดับแอดมิน

นอกจากนี้ยังมีช่องโหว่ Zero-day ที่นำไปสู่ XSS บน Plugin อื่นอย่าง Async JavaScript, 10Web Map Builder for Google Maps และ Modern Events Calendar Lite ที่มีผู้ใช้กว่า 100,000 200,000 และ 40,000 ตามลำดับ โดย Plugin ที่กล่าวมาทั้งหมดนี้ล้วนแล้วแต่เป็นช่องโหว่ Zero-day ที่ถูกเริ่มโจมตีหรือเป็นเป้าหมายที่คาดว่าแฮ็กเกอร์จะติดพอร์ตไว้ในคลังแสง ดังนั้นหากท่านใดใช้ Plugin ข้างต้นกรุณาอัปเดตแพตช์หรือหาทางป้องกันที่เหมาะสมด้วย

ที่มา :  https://www.zdnet.com/article/hackers-are-actively-exploiting-zero-days-in-several-wordpress-plugins/

from:https://www.techtalkthai.com/actively-used-zero-day-in-wordpress-plugins/

เตือนพบช่องโหว่ร้ายแรงบนปลั๊กอินของ WordPress แนะผู้ใช้เร่งอัปเดต

WebARX ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ WordPress ได้พบช่องโหว่ร้ายแรงบนปลั๊กอินจาก ThemeGrill ซึ่งทำให้ผู็โจมตีสามารถรีเซ็ตค่าฐานข้อมูลกลับเป็น Default หรือพูดง่ายๆ ว่าข้อมูลหายเรียบ

Credit: ShutterStock.com

ThemeGrill Demo Importer เป็นปลั๊กอินยอดนิยมตัวหนึ่งในกลุ่มผู้ดูแล WordPress ที่ช่วยให้สามารถ Demo Content, Widget และการตั้งค่าธีมจากบริษัท ThemeGrill ซึ่งมีผู้ติดตั้งแล้วกว่า 200,000 ไซต์

ประเด็นคือ WebARX ได้พบช่องโหว่ RCE ในปลั๊กอินที่ทำให้คนร้ายสามารถส่ง Payload พิเศษเข้าไปใช้งานฟังก์ชันในปลั๊กอินให้รีเซ็ตค่าเป็น Default นอกจากนี้หากฐานข้อมูลใช้ Username เป็น admin อยู่แฮ็กเกอร์จะได้รับสิทธิ์เป็นผู้ดูแลทันทีด้วย ปัจจุบันช่องโหว่ส่งผลกระทบกับปลั๊กอินเวอร์ชัน 1.3.4 – 1.6.1 ดังนั้นสามารถอัปเดตป้องกันได้ในเวอร์ชัน 1.6.2 โดยด่วนครับ

ที่มา :  https://www.zdnet.com/article/bug-in-wordpress-plugin-can-let-hackers-wipe-up-to-200000-sites/ และ  https://www.securityweek.com/flaw-wordpress-themes-plugin-allowed-hackers-become-site-admin

from:https://www.techtalkthai.com/wordpress-theme-plugin-vulnerability-allow-reset-default-to-database/

พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต

สำหรับผู้ใช้งาน WordPress ที่มีการใช้งาน Plug-in Code Snippets มีการค้นพบช่องโหว่ Cross-site request forgery (CSRF) ทำให้คนร้ายสามารถเข้ายึดเว็บไซต์ได้ จึงแนะนำให้ผู้ใช้เร่งอัปเดต

ช่องโหว่ความรุนแรงสูงหมายเลข CVE-2020-8417 เกิดกับ Code Snippet Plugin ของ WordPress โดยเป็นช่องโหว่ CSRF เนื่องจาก Plugin ขาดการตรวจสอบ referer ในเมนู import ที่ทำให้คนร้ายสามารถสร้าง Request อันตรายในนามของผู้ดูแลเพื่อ inject โค้ดในเว็บไซต์ได้ซึ่งนำไปสู่การลอบรันโค้ดซึ่งอาจถึงขั้นสร้างบัญชีแอดมินใหม่ ขโมยข้อมูล และอื่นๆ

ปัจจุบันมีแพตช์แก้ไขแล้วในเวอร์ชัน 2.14.0 จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต โดยผู้สนใจสามารถชมวีดีโอสาธิตการใช้ช่องโหว่จาก Wordfence ได้ตามด้านบนครับ

ที่มา :  https://www.bleepingcomputer.com/news/security/200k-wordpress-sites-exposed-to-takeover-attacks-by-plugin-bug/

from:https://www.techtalkthai.com/wordfence-show-exploits-cve-2020-8417-in-wordpress-code-snippet-plugin/

พบช่องโหว่ร้ายแรงบน WordPress Plugin คาดกระทบกว่า 320,000 เว็บไซต์

มีการค้นพบช่องโหว่ของ WordPress Plugin 2 ตัวคือ InfiniteWP Client และ WP Time Capsule คาดว่ามีผู้ใช้งานในเว็บไซต์กว่า 320,000 แห่งจึงแนะนำให้ตรวจสอบและอัปเดต

InfiniteWP Client และ WP Time Capsule เอาไว้ใช้จัดการเว็บไซต์ WordPress ได้หลายแห่งจากเซิร์ฟเวอร์เดียว รวมถึงทำ Backup ไฟล์และฐานข้อมูลตอนอัปเดตเว็บ โดยผู้เชี่ยวชาญจาก WebArx พบว่า Plugin ทั้งคู่มีปัญหาระดับโลจิคัลในโค้ด ซึ่งทำให้สามารถล็อกอินบัญชีระดับผู้ดูแลได้โดยไม่ต้องมีรหัสผ่าน

ช่องโหว่บน InfiniteWP Client เวอร์ชันต่ำกว่า 1.9.4.5 คือสามารถส่ง POST Request กับ JSON และ Base64 Encoding เพื่อลัดผ่านการร้องขอรหัสผ่านได้ หากรู้เพียงแค่ชื่อบัญชีระดับแอดมิน ในขณะที่ WP Time Capsule เวอร์ชันต่ำกว่า 1.21.16 สามารถประดิษฐ์ String ใส่ใน POST Request เพื่อดึงเอาลิสต์ของบัญชีผู้ดูแลออกมาและล็อกอินด้วยบัญชีชื่อแรกได้ โดยทั้งสองมีผู้ใช้ราว 300,000 และ 20,000 รายตามลำดับ

อย่างไรก็ตามหลังจากได้รับแจ้งเจ้าของ Plugin ทั้งสองก็รีบอัปเดตตัวเองในวันถัดไป ดังนั้นผู้ที่ใช้งานต้องรีบแพตช์นะครับเพราะถือเป็นช่องโหว่ร้ายแรง โดย WebArx ชี้ว่าเป็นเรื่องยากที่จะป้องกันด้วย Firewall เนื่องจากหน้าตาของ Payload ดีและไม่ดีแทบไม่ต่างกัน

ที่มา :  https://www.zdnet.com/article/critical-bugs-in-wordpress-plugins-infinitewp-wp-time-capsule-expose-300000-websites-to-attack/

from:https://www.techtalkthai.com/found-critical-bugs-in-wordpress-plugin-infinitewp-and-wp-time-capsule/