Hackers Exploit Outdated WordPress Plugin to Backdoor Thousands of WordPress Sites
Sucuri เปิดเผยในรายงานเมื่อสัปดาห์ที่แล้วว่าผู้โจมตีใช้ประโยชน์จากปลั๊กอิน WordPress ที่ล้าสมัยไปยังเว็บไซต์ลับๆ ซึ่งเป็นส่วนหนึ่งของแคมเปญใหม่ที่กำลังดำเนินการอยู่ ปลั๊กอินที่เป็นปัญหาคือ Eval PHP ซึ่งเผยแพร่โดยนักพัฒนาชื่อ flashpixx ช่วยให้ผู้ใช้สามารถแทรกหน้าโค้ด PHP และโพสต์ของไซต์ WordPress ซึ่งจะดำเนินการทุกครั้งที่เปิดโพสต์ในเว็บเบราว์เซอร์ แม้ว่า Eval PHP ไม่เคยได้รับการอัปเดตเลยในรอบ 11 ปี แต่สถิติที่รวบรวมโดย WordPress แสดงให้เห็นว่ามีการติดตั้งบนเว็บไซต์กว่า 8,000 แห่ง โดยจำนวนการดาวน์โหลดพุ่งสูงขึ้นตั้งแต่เดือนกันยายน 2022 เป็น 6,988 ในวันที่ 30 มีนาคม 2023 และในวันที่ 23 เมษายน 2023 เพียงวันเดียว มีการดาวน์โหลด 2,140 ครั้ง โดยปลั๊กอินมีการดาวน์โหลดกว่า 23,110 ครั้งในช่วง 7 วันที่ผ่านมา
Sucuri ซึ่งเป็นเจ้าของ GoDaddy กล่าวว่าพวกเขาสังเกตเห็นฐานข้อมูลของเว็บไซต์ที่ติดไวรัสบางแห่งสามารถแทรกโค้ดที่เป็นอันตรายลงในตาราง wp_posts ซึ่งใช้เก็บข้อมูลโพสต์และหน้าเพจได้ นักวิจัยด้านความปลอดภัย Ben Martin กล่าวว่า โค้ดนี้ใช้ฟังก์ชัน file_put_contents เพื่อสร้างสคริปต์ PHP ใน docroot ของเว็บไซต์ด้วยแบ็คดอร์การเรียกใช้โค้ดจากระยะไกล แม้ว่าการแทรกโค้ดที่มีแบ็คดอร์ลงในโครงสร้างไฟล์ WordPress ทำให้สามารถแพร่กระจายไปยังเว็บไซต์ได้อย่างง่ายดาย แต่สิ่งที่ผู้โจมตีต้องทำต่อไปคือไปที่หนึ่งในโพสต์หรือเพจที่ติดไวรัสหลังจากนั้นแบ็คดอร์จะถูกแทรกเข้าไปในโครงสร้างไฟล์
Sucuri กล่าวว่าตรวจพบแบ็คดอร์นี้มากกว่า 6,000 ครั้งบนเว็บไซต์ที่ถูกบุกรุกในช่วง 6 เดือนที่ผ่านมา การโจมตีเกี่ยวข้องกับการติดตั้งปลั๊กอิน Eval PHP บนไซต์ที่ถูกบุกรุกและใช้งานในทางที่ผิดเพื่อสร้างแบ็คดอร์ในโพสต์หลายๆ อันซึ่งบางครั้งก็ถูกบันทึกเป็นฉบับร่างด้วย ซึ่งวิธีการทำงานของปลั๊กอิน Eval PHP ก็เพียงพอแล้วที่จะบันทึกหน้าเป็นแบบร่างเพื่อเรียกใช้โค้ด PHP ภายใต้รหัส [evalphp] ขอแนะนำให้ผู้ดูแลไซต์รักษาความปลอดภัยของ dashboard WP Admin รวมถึงระวังการเข้าสู่ระบบที่น่าสงสัยเพื่อป้องกันไม่ให้ผู้โจมตีเข้าถึงสิทธิ์ผู้ดูแลระบบและติดตั้งปลั๊กอิน
https://thehackernews.com/2023/04/hackers-exploit-outdated-wordpress.html