นักวิจัยด้านความปลอดภัย Wordfence พบช่องโหว่  CVE -2021-24284 บนปลั๊กอิน Kaswara Modern WPBakery Page Builder ของ Word Press ที่ทำให้แฮกเกอร์สามารถอัปโหลดไฟล์ แทรกโค้ดอันตราย หรือเข้าควบคุมระบบได้โดยไม่ต้องตรวจสอบสิทธิ์ ซึ่งจากรายงานการตรวจพบของทีมรักษาความปลอดภัย Wordfence จาก Word Press พบข้อมูลเพิ่มเติมอีกว่ามีการพยายามเข้าโจมตี โดยอาศัยช่องโหว่ดังกล่าว ตั้งแต่วันที่ 4 ก.ค 65 จนถึงปัจจุบัน เฉลี่ยวันละ 443,868 ครั้ง/วัน 

การโจมตีรายวันจับและบล็อกโดย Wordfence

ซึ่งในการโจมตีแต่ละครั้งเกิดจาก IP ที่แตกต่างกันกว่า 10,215 แห่ง โดย 10 IP แรกที่ถูกนำมาใช้ได้แก่

• 217.160.48.108 ได้มีการบล็อคไปแล้วกว่า 1,591,765 ครั้ง
• 5.9.9.29 ได้มีการบล็อคไปแล้วกว่า 898,248 ครั้ง
• 2.58.149.35 ได้มีการบล็อคไปแล้วกว่า 390,815 ครั้ง
• 20.94.76.10 ได้มีการบล็อคไปแล้วกว่า 276,006 ครั้ง
• 20.206.76.37 ได้มีการบล็อคไปแล้วกว่า 212,766 ครั้ง
• 20.219.35.125 ได้มีการบล็อคไปแล้วกว่า 187,470 ครั้ง
• 20.223.152.221 ได้มีการบล็อคไปแล้วกว่า 102,658 ครั้ง
• 5.39.15.163 ได้มีการบล็อคไปแล้วกว่า 62,376 ครั้ง
• 194.87.84.195 ได้มีการบล็อคไปแล้วกว่า 32,890 ครั้ง

ที่อยู่ IP ที่เริ่มการโจมตี (Wordfence)

ทีม Wordfence วิเคราะห์ข้อมูลการโจมตีในครั้งนี้พบว่า แฮกเกอร์จะพยายามอัปโหลดไฟล์ Zip ที่ชื่อว่า a57bze8931.zip และหากการอัปโหลดสำเร็จ ไฟล์จะถูกแตกออกมาเป็นไฟล์ที่ชื่อว่า a57bze8931.php และจะถูกเก็บไว้ที่ /wp-content/uploads/kaswara/icons/ นอกจากนี้ยังมีไฟล์อื่นๆ ที่แฮกเกอร์พยายามจะอัปโหลด ได้แก่

• [xxx]_young.zip โดยที่ [xxx] จะใช้ชื่อแตกต่างกันไป และจะประกอบด้วยอักขระ 3 ตัว เช่น ‘svv_young’
• inject.zip
• king_zip.zip
• null.zip
• plugin.zip

ดังนั้น เพื่อเป็นการป้องกันการถูกคุกคามระบบ แนะนำให้ลบปลั๊กอิน Kaswara Modern WPBakery Page Builder Addons ออกจากเว็บไซต์ไปก่อนจนกว่าจะมีประกาศแก้ไข

ที่มา: 

• hostatom
• bleepingcomputer