Hackers exploit bug in Elementor Pro WordPress plugin with 11M installs
แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงสูงในปลั๊กอิน WordPress Elementor Pro ที่ใช้โดยเว็บไซต์กว่า 11 ล้านแห่ง Elementor Pro เป็นปลั๊กอินตัวสร้างเพจ WordPress ช่วยให้ผู้ใช้สร้างเว็บไซต์ที่ดูเป็นมืออาชีพได้อย่างง่ายดายโดยไม่ต้องรู้วิธีการเขียนโค้ด โดยจะมีฟีเจอร์ ธีม คอลเลกชันเทมเพลต และ WooCommerce สำหรับใช้สร้างร้านค้าออนไลน์ ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยของ NinTechNet Jerome Bruandet เมื่อวันที่ 18 มีนาคม 2023 โดยปัญหาที่พบนั้นเกิดจากข้อบกพร่องเมื่อติดตั้งปลั๊กอินร่วมกับ WooCommerce ซึ่งส่งผลกระทบต่อเวอร์ชัน v3.11.6 และทุกเวอร์ชันก่อนหน้า ทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ เช่น ลูกค้าร้านค้าหรือสมาชิกไซต์ สามารถเปลี่ยนการตั้งค่าของเว็บไซต์และดำเนินการควบคุมเว็บไซต์ทั้งหมดได้
นักวิจัยยังอธิบายเพิ่มเติมอีกว่าข้อบกพร่องนี้เกี่ยวข้องกับการควบคุมการเข้าถึงบนโมดูล WooCommerce ของปลั๊กอิน (elementor-pro/modules/woocommerce/module.php) ทำให้ทุกคนสามารถแก้ไขตัวเลือก WordPress ในฐานข้อมูลได้โดยไม่ต้องตรวจสอบความถูกต้อง และช่องโหว่นี้ถูกโจมตีผ่านการดำเนินการ AJAX ที่มีช่องโหว่ pro_woocommerce_update_page_option ผู้โจมตีที่ผ่านการพิสูจน์ตัวตนสามารถใช้ประโยชน์จากช่องโหว่เพื่อสร้างบัญชีผู้ดูแลระบบโดยการเปิดใช้การลงทะเบียนและตั้งค่าบทบาทเริ่มต้นเป็น ผู้ดูแลระบบ นอกจากนี้ยังสามารถเปลี่ยนที่อยู่อีเมลของผู้ดูแลระบบ หรือเปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดไปยังเว็บไซต์ที่เป็นอันตรายภายนอกโดยเปลี่ยน siteurl และอื่นๆอีกมากมาย สำหรับการใช้ข้อบกพร่องนี้จะต้องติดตั้งปลั๊กอิน WooCommerce บนเว็บไซต์ด้วย เพื่อเปิดใช้งานโมดูลที่มีช่องโหว่ที่เกี่ยวข้องบน Elementor Pro
นอกจากนี้บริษัทรักษาความปลอดภัย WordPress ที่ชื่อ PatchStack ยังรายงานว่าแฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ปลั๊กอิน Elementor Pro นี้เพื่อเปลี่ยนเส้นทางไปยังโดเมนที่เป็นอันตราย (away[.]trackersline[.]com) หรืออัปโหลดแบ็คดอร์ไปยังไซต์ที่ถูกบุกรุก PatchStack กล่าวว่าแบ็คดอร์ที่ใช้ในการโจมตีเหล่านี้มีชื่อว่า wp-resortpark.zip, wp-rate.php หรือ lll.zip แม้ว่าจะไม่ได้ให้รายละเอียดเกี่ยวกับแบ็คดอร์ตัวนี้มากนัก แต่ BleepingComputer ก็พบตัวอย่างไฟล์ lll.zip ซึ่งมีสคริปต์ PHP ที่ช่วยให้ผู้โจมตีจากระยะไกลสามารถอัปโหลดไฟล์เพิ่มเติมไปยังเซิร์ฟเวอร์ที่ถูกบุกรุกได้ แบ็คดอร์นี้จะทำให้ผู้โจมตีสามารถเข้าถึงเว็บไซต์ WordPress ได้อย่างอิสระ ไม่ว่าจะขโมยข้อมูลหรือติดตั้งรหัสที่เป็นอันตรายเพิ่มเติม PatchStack กล่าวว่าการโจมตีส่วนใหญ่ที่กำหนดเป้าหมายไปยังเว็บไซต์ที่มีช่องโหว่นั้นมาจาก IP ดังต่อไปนี้ , 193.169.194.63 , 193.169.195.64 , 194.135.30.6 หากเว็บไซต์ของคุณใช้ Elementor Pro จำเป็นต้องอัปเกรดเป็นเวอร์ชัน 3.11.7 หรือใหม่กว่า (เวอร์ชันล่าสุดที่มีให้ใช้งานคือ 3.12.0) โดยเร็วที่สุด เนื่องจากแฮ็กเกอร์กำลังกำหนดเป้าหมายไปยังเว็บไซต์ที่มีช่องโหว่อยู่แล้ว และเมื่อสัปดาห์ที่แล้ว WordPress ได้อัปเดตปลั๊กอิน WooCommerce Payments สำหรับร้านค้าออนไลน์เพื่อแก้ไขช่องโหว่ที่อนุญาตให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบไปยังไซต์ที่มีช่องโหว่ได้
https://www.bleepingcomputer.com/news/security/hackers-exploit-bug-in-elementor-pro-wordpress-plugin-with-11m-installs/