นักวิจัยเตือนช่องโหว่ที่ร้ายแรงในเว็บไซต์ WordPress หลายหมื่นเว็บไซต์
ผู้เชี่ยวชาญด้านความปลอดภัยจากทีม Wordfence Threat Intelligence เพิ่งค้นพบช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ในปลั๊กอินสำหรับแพลตฟอร์ม CMS ยอดนิยมที่เรียกว่า Tatsu Builder
ช่องโหว่นี้ระบุเป็น CVE-2021-25094 และได้รับรายงานครั้งแรกเมื่อปลายเดือนมีนาคมปีนี้ มีอยู่ในปลั๊กอิน WordPress รุ่นฟรีและพรีเมียม
การติดตั้งมัลแวร์
ผู้โจมตีใช้ข้อบกพร่องของปลั๊กอิน WordPress เพื่อติดตั้งหยดซึ่งจะติดตั้งมัลแวร์เพิ่มเติม eyedropper มักจะอยู่ในโฟลเดอร์ย่อยแบบสุ่มภายใต้ wp-content/uploads/typehub/custom/
ชื่อไฟล์ขึ้นต้นด้วยจุดเพื่อระบุไฟล์ที่ซ่อนอยู่ นักวิจัยกล่าวว่าสิ่งนี้จำเป็นต่อการใช้ประโยชน์จากจุดอ่อน เนื่องจากเป็นการใช้ประโยชน์จากสภาวะทางเชื้อชาติ
เนื่องจากปลั๊กอินไม่อยู่ในที่เก็บ WordPress.org Wordfence กล่าวว่าเป็นการยากมากที่จะระบุว่ามีเว็บไซต์กี่แห่งที่ติดตั้งไว้ อย่างไรก็ตาม บริษัทคาดการณ์ว่าเว็บไซต์ 20.000 ถึง 50.000 แห่งใช้ Tatsu Builder
แม้ว่าผู้ดูแลระบบจะได้รับแจ้งเกี่ยวกับข้อบกพร่องเมื่อสิบวันก่อน Wordfence ประมาณการว่าอย่างน้อยหนึ่งในสี่ยังคงมีช่องโหว่ ซึ่งหมายความว่าเว็บไซต์ระหว่าง 5.000 ถึง 12.500 ยังคงถูกโจมตีได้
นักวิจัยกล่าวว่าการโจมตีซึ่งเริ่มขึ้นเมื่อสัปดาห์ที่แล้วยังคงดำเนินต่อไป โดยเสริมว่าปริมาณการโจมตีสูงสุดและลดลงตั้งแต่นั้นเป็นต้นมา
ส่วนใหญ่เป็นการโจมตีแบบโพรบเพื่อตรวจสอบว่าเว็บไซต์มีช่องโหว่หรือไม่ เห็นได้ชัดว่าการโจมตีส่วนใหญ่มาจากที่อยู่ IP ที่แตกต่างกันเพียงสามแห่ง
ผู้ดูแลระบบที่ต้องการทราบว่าพวกเขาถูกโจมตีหรือไม่ ควรตรวจสอบบันทึกของพวกเขาเพื่อหาสตริงการสืบค้นต่อไปนี้: /wp-admin/admin-ajax.php?action=add_custom_font
ขอแนะนำให้ผู้ที่ติดตั้งปลั๊กอิน Tatsu Builder อัปเดตเป็นเวอร์ชันล่าสุด (3.3.13) โดยเร็วที่สุด