ผู้โจมตีใช้ประโยชน์จากช่องโหว่ปลั๊กอิน Zero-Day WordPress ใน BackupBuddy

ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ที่สำคัญใน BackupBuddy ซึ่งเป็นปลั๊กอิน WordPress ที่เว็บไซต์ประมาณ 140,000 แห่งใช้เพื่อสำรองข้อมูลการติดตั้ง

ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถอ่านและดาวน์โหลดไฟล์ตามอำเภอใจจากเว็บไซต์ที่ได้รับผลกระทบ รวมถึงไฟล์ที่มีข้อมูลการกำหนดค่าและข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน ที่สามารถใช้เพื่อประนีประนอมต่อไปได้

Wordfence ผู้ให้บริการความปลอดภัยของ WordPress รายงานการสังเกตการโจมตีที่กำหนดเป้าหมายข้อบกพร่องตั้งแต่วันที่ 26 สิงหาคมและกล่าวว่ามี ปิดกั้นการโจมตีได้เกือบ 5 ล้านครั้ง ตั้งแต่นั้นมา iThemes ผู้พัฒนาปลั๊กอินได้ออกแพทช์สำหรับข้อบกพร่องเมื่อวันที่ 2 กันยายน มากกว่าหนึ่งสัปดาห์หลังจากการโจมตีเริ่มขึ้น ซึ่งทำให้เกิดความเป็นไปได้ที่เว็บไซต์ WordPress บางเว็บไซต์ที่ใช้ซอฟต์แวร์นี้อาจถูกบุกรุกก่อนที่จะมีการแก้ไขสำหรับช่องโหว่ดังกล่าว

Directory Traversal Bug

ในแถลงการณ์บนเว็บไซต์ iThemes ได้อธิบายถึงช่องโหว่ในไดเรกทอรีที่ส่งผลกระทบต่อเว็บไซต์ที่กำลังทำงานอยู่ BackupBuddy เวอร์ชัน 8.5.8.0 ถึง 8.7.4.1. กระตุ้นให้ผู้ใช้ปลั๊กอินอัปเดตเป็น BackupBuddy เวอร์ชัน 8.75 ทันที แม้ว่าพวกเขาจะไม่ได้ใช้ปลั๊กอินเวอร์ชันที่มีช่องโหว่ก็ตาม

“ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถดูเนื้อหาของไฟล์ใด ๆ บนเซิร์ฟเวอร์ของคุณที่การติดตั้ง WordPress ของคุณอ่านได้” ผู้ผลิตปลั๊กอินเตือน

การแจ้งเตือนของ iThemes ให้คำแนะนำเกี่ยวกับวิธีที่ผู้ให้บริการไซต์สามารถระบุได้ว่าเว็บไซต์ของตนถูกบุกรุกหรือไม่ และขั้นตอนที่พวกเขาสามารถดำเนินการเพื่อกู้คืนความปลอดภัย มาตรการเหล่านี้รวมถึงการรีเซ็ตรหัสผ่านฐานข้อมูล การเปลี่ยนรหัสผ่าน WordPress เกลือและการหมุนเวียนคีย์ API และข้อมูลลับอื่นๆ ในไฟล์การกำหนดค่าไซต์

Wordfence กล่าวว่าได้เห็นผู้โจมตีใช้ข้อบกพร่องเพื่อพยายามดึง "ไฟล์ที่ละเอียดอ่อนเช่นไฟล์ /wp-config.php และ /etc/passwd ซึ่งสามารถใช้เพื่อประนีประนอมเหยื่อ"

ความปลอดภัยของปลั๊กอิน WordPress: ปัญหาเฉพาะถิ่น

ข้อบกพร่องของ BackupBuddy เป็นเพียงหนึ่งในข้อบกพร่องหลายพันรายการที่ได้รับการเปิดเผยในสภาพแวดล้อมของ WordPress ซึ่งเกือบทั้งหมดเกี่ยวข้องกับปลั๊กอินในช่วงไม่กี่ปีที่ผ่านมา

ในรายงานเมื่อต้นปีนี้ iThemes กล่าวว่าระบุ ช่องโหว่ WordPress ที่เปิดเผยทั้งหมด 1,628 รายการ ในปี 2021 — และมากกว่า 97% ส่งผลกระทบต่อปลั๊กอิน เกือบครึ่ง (47.1%) ได้รับการจัดอันดับว่ามีความรุนแรงสูงถึงวิกฤต และที่น่าเป็นห่วงคือ 23.2% ของปลั๊กอินที่มีช่องโหว่ไม่รู้จักการแก้ไข.

การสแกนอย่างรวดเร็วของฐานข้อมูลช่องโหว่แห่งชาติ (NVD) โดย Dark Reading แสดงให้เห็นว่าช่องโหว่หลายสิบรายการที่ส่งผลกระทบต่อเว็บไซต์ WordPress ได้รับการเปิดเผยจนถึงสัปดาห์แรกของเดือนกันยายนเพียงสัปดาห์เดียว

ปลั๊กอินที่มีช่องโหว่ไม่ได้เป็นเพียงข้อกังวลสำหรับไซต์ WordPress เท่านั้น ปลั๊กอินที่เป็นอันตรายเป็นอีกปัญหาหนึ่ง การศึกษาขนาดใหญ่ของเว็บไซต์กว่า 400,000 แห่งที่นักวิจัยแห่งสถาบันเทคโนโลยีแห่งจอร์เจียดำเนินการค้นพบ มีปลั๊กอินที่เป็นอันตรายมากถึง 47,337 รายการ ติดตั้งบนเว็บไซต์ 24,931 เว็บไซต์ ส่วนใหญ่ยังเปิดใช้งานอยู่

Sounil Yu, CISO ของ JupiterOne กล่าวว่าความเสี่ยงที่มีอยู่ในสภาพแวดล้อมของ WordPress เหมือนกับที่มีอยู่ในสภาพแวดล้อมใดๆ ที่ใช้ประโยชน์จากปลั๊กอิน การผสานรวม และแอปพลิเคชันของบุคคลที่สามเพื่อขยายฟังก์ชันการทำงาน

“เช่นเดียวกับสมาร์ทโฟน ส่วนประกอบของบุคคลที่สามดังกล่าวจะขยายขีดความสามารถของผลิตภัณฑ์หลัก แต่ก็เป็นปัญหาสำหรับทีมรักษาความปลอดภัยเช่นกัน เนื่องจากส่วนประกอบเหล่านี้เพิ่มพื้นผิวการโจมตีของผลิตภัณฑ์หลักอย่างมีนัยสำคัญ” เขาอธิบาย พร้อมเสริมว่าการตรวจสอบผลิตภัณฑ์เหล่านี้ก็เป็นสิ่งที่ท้าทายเช่นกัน เนื่องจากจำนวนที่มากและไม่มีที่มาที่ชัดเจน

“ทีมรักษาความปลอดภัยมีแนวทางเบื้องต้น โดยส่วนใหญ่มักจะมองคร่าว ๆ เกี่ยวกับสิ่งที่ผมเรียกว่า Ps สามประการ ได้แก่ ความนิยม วัตถุประสงค์ และการอนุญาต” Yu กล่าว “คล้ายกับร้านแอปที่จัดการโดย Apple และ Google ตลาดซื้อขายจำเป็นต้องทำการตรวจสอบเพิ่มเติมเพื่อให้แน่ใจว่า [ปลั๊กอิน การผสานรวม และแอปของบุคคลที่สาม] ที่เป็นอันตรายจะไม่สร้างปัญหาให้กับลูกค้าของพวกเขา” เขากล่าว

ปัญหาก็คือในขณะที่ WordPress ถูกใช้อย่างแพร่หลายมักจะได้รับการจัดการโดยผู้เชี่ยวชาญด้านการตลาดหรือการออกแบบเว็บไซต์ ไม่ใช่ผู้เชี่ยวชาญด้านไอทีหรือความปลอดภัย Bud Broomhead ซีอีโอของ Viakoo กล่าว

“การติดตั้งนั้นง่าย และการถอดนั้นค่อยคิดทีหลังหรือไม่เคยทำเลย” Broomhead กล่าวกับ Dark Reading “เช่นเดียวกับพื้นผิวการโจมตีที่เปลี่ยนไปใช้ IoT/OT/ICS ผู้คุกคามมุ่งเป้าไปที่ระบบที่ไม่ได้รับการจัดการโดย IT โดยเฉพาะอย่างยิ่งระบบที่ใช้กันอย่างแพร่หลายเช่น WordPress”

Broomhead กล่าวเสริมว่า “แม้ว่า WordPress จะออกการแจ้งเตือนเกี่ยวกับปลั๊กอินที่มีช่องโหว่ แต่ลำดับความสำคัญอื่นนอกเหนือจากความปลอดภัยอาจทำให้การลบปลั๊กอินที่เป็นอันตรายล่าช้า”