ช่องโหว่สำคัญ Zero-day สามช่องโหว่ในปลั๊กอิน WordPress เปิดเผยเว็บไซต์ 160,000 แห่งให้โจมตีหลังจากนักวิจัยด้านความปลอดภัยเปิดเผยข้อบกพร่องก่อนที่จะมีแพตช์
Yuzo Related Posts และ WordPress Customizer ปลั๊กอิน WordPress ที่ใช้โดย 60,000 และ 30,000 เว็บไซต์ตามลำดับ ถูกโจมตีเมื่อการละเมิดโค้ดของพวกเขาเป็นที่รู้จักทางออนไลน์
เมื่อโพสต์ Zero Day ถูกเผยแพร่ ปลั๊กอินทั้งสองจะถูกลบออกจากที่เก็บปลั๊กอินของ WordPress ทำให้เว็บไซต์ลบปลั๊กอินออก ไม่เช่นนั้นพวกมันอาจโจมตีตัวเองได้ Yellow Pencil ได้ออกแพตช์ XNUMX วันหลังจากที่มีการปล่อยช่องโหว่ แต่ปลั๊กอิน Yuzo Related Posts ยังคงปิดอยู่เนื่องจากไม่มีการแก้ไขใดๆ
นอกจากนี้ ปลั๊กอิน Social Warfare ซึ่งใช้งานโดยไซต์ 70,000 แห่ง ได้รับผลกระทบจากการฉ้อโกงอย่างบ้าคลั่งหลังจากการเปิดเผยข้อบกพร่องด้านความปลอดภัยในโค้ดของสาธารณะ นักพัฒนาปลั๊กอินแก้ไขข้อบกพร่องอย่างรวดเร็ว แต่น่าเสียดายที่มันสายเกินไปเพราะไซต์ที่ใช้มันถูกแฮ็กแล้ว
ช่องโหว่ของปลั๊กอิน
ปลั๊กอินที่มีช่องโหว่ทั้งสามถูกแฮ็กเพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่ส่งเสริมการหลอกลวงการสนับสนุนด้านเทคนิคและการฉ้อโกงออนไลน์ประเภทอื่นๆ
อย่างไรก็ตาม จุดหนึ่งที่ทุกคนมักพบเจอคือ ช่องโหว่ดังกล่าวเกิดขึ้นหลังจากไซต์ที่ชื่อว่า Plugin Vulnerabilities ได้ตีพิมพ์บทความโดยละเอียดที่เปิดเผยช่องโหว่ที่ซ่อนอยู่ โพสต์เหล่านี้มีรายละเอียดทางเทคนิคเพียงพอและโค้ดการใช้ประโยชน์จากการพิสูจน์แนวคิดที่แฮ็กเกอร์สามารถใช้ข้อมูลนี้เพื่อโจมตีปลั๊กอินที่มีช่องโหว่ได้อย่างง่ายดาย และทำให้เรื่องแย่ลงไปอีก และโค้ดบางส่วนที่ใช้ในการโจมตีนั้นถูกคัดลอกไว้อย่างชัดเจน วางจากปลั๊กอินโพสต์ ช่องโหว่
เมื่อพบช่องโหว่ที่เกี่ยวข้องกับดินสอสีเหลืองและธีมสงครามสังคม แฮ็กเกอร์ใช้ประโยชน์จากพวกเขาภายในไม่กี่ชั่วโมง Zero day, The Yuzo Related Posts, อยู่ในป่าเป็นเวลา 11 วันก่อนที่จะถูกเอารัดเอาเปรียบ
นักวิจัยด้านความปลอดภัยของช่องโหว่ของปลั๊กอิน ซึ่งรับผิดชอบในการเผยแพร่บทความที่มีรายละเอียดเกี่ยวกับช่องโหว่ซีโร่เดย์ อธิบายว่าเหตุใดเขาจึงเลือกที่จะทำเช่นนั้น Ars Technicaพูดว่า:
"นโยบายการเปิดเผยข้อมูลในปัจจุบันของเราคือการเปิดเผยช่องโหว่ทั้งหมด จากนั้นรายงานไปยังนักพัฒนาผ่านทางฟอรัมสนับสนุน WordPress แม้ว่าผู้ดูแลจะนำเสนอ... บ่อยเกินไป เพียงลบข้อความเหล่านี้และไม่รายงานใคร"
โดยพื้นฐานแล้ว นักวิจัยด้านความปลอดภัยได้ตัดสินใจโพสต์ช่องโหว่ Zero-day บนไซต์ของเขาเอง หลังจากที่โพสต์ช่องโหว่ของเขาถูกลบออกจากฟอรัมการสนับสนุนของ WordPress เนื่องจากละเมิดกฎของพวกเขา แม้ว่าการแจ้งให้นักพัฒนาทราบถึงช่องโหว่ซีโร่เดย์เป็นเรื่องหนึ่ง แต่การโพสต์ต่อสาธารณะในที่ที่ทุกคนเข้าถึงได้ ซึ่งรวมถึงแฮกเกอร์ด้วย ถือเป็นเรื่องราวที่แตกต่างไปจากเดิมอย่างสิ้นเชิง
ผ่านทาง Ars Technica