ข้อบกพร่องในปลั๊กอิน WordPress ยอดนิยมทำให้เว็บไซต์นับล้านตกอยู่ในความเสี่ยง ด้วยการใช้ประโยชน์จากช่องโหว่นี้ แฮกเกอร์จึงสามารถควบคุมไซต์ได้อย่างง่ายดายโดยที่ผู้ดูแลระบบไม่ทราบ
หกล้านกว่าบนเว็บไซต์ WordPressเสี่ยงต่อการถูกโจมตี Bleeping Computer รายงาน ถ่ายทอดการค้นพบของนักพัฒนาแพตช์สแต็กราฟี มูฮัมหมัด สื่อเผยการมีอยู่ของการละเมิดความปลอดภัยภายในแคช LiteSpeedปลั๊กอิน WordPress ได้รับการออกแบบมาเพื่อเพิ่มประสิทธิภาพการทำงานของเว็บไซต์ โดยเฉพาะเว็บไซต์ที่ทำงานบนเซิร์ฟเวอร์ LiteSpeed
อ่านเพิ่มเติม:มัลแวร์ชื่อ “โวลเดอมอร์ต” โจมตีฝรั่งเศส
ข้อบกพร่องในปลั๊กอิน WordPress ยอดนิยม
นำมาใช้อย่างหนาแน่นโดยไซต์บน WordPress ซึ่งเป็นปลั๊กอินสามารถบีบอัดและปรับภาพให้เหมาะสมโดยอัตโนมัติเพื่อลดขนาดและปรับปรุงเวลาในการโหลดหน้าเว็บ นอกจากนี้ยังมีคุณสมบัติการเพิ่มประสิทธิภาพอื่น ๆ อีกมากมาย ปลั๊กอินที่เรียบง่าย มีประสิทธิภาพ และกำหนดค่าได้ง่าย“เครื่องมือแคชยอดนิยมในระบบนิเวศของ WordPress”ตอนนี้ใส่ไซต์นับล้านที่ตกอยู่ในอันตรายราฟี มูฮัมหมัด อธิบาย
นักพัฒนาค้นพบช่องโหว่ในคุณสมบัติการบันทึกการแก้ไขข้อบกพร่องของปลั๊กอิน ซึ่งช่วยติดตามและวิเคราะห์พฤติกรรมของ LiteSpeed รวมถึงระบุปัญหาที่อาจเกิดขึ้น ตัวเลือกนี้จะบันทึกส่วนหัวการตอบกลับ HTTP ทั้งหมด เหล่านี้ประกอบด้วยข้อมูลที่ละเอียดอ่อนเช่นเซสชันหรือคุกกี้การรับรองความถูกต้อง
ด้วยการสกัดกั้นข้อมูลนี้ แฮกเกอร์จึงสามารถปลอมตัวเป็นผู้ดูแลระบบและควบคุมเว็บไซต์ได้ ท้ายที่สุดแล้ว การละเมิดดังกล่าวทำให้ผู้โจมตีสามารถเข้าควบคุมไซต์ WordPress ที่เขาไม่มีสิทธิ์เข้าถึงได้โดยไม่ต้องใช้ความพยายามมากนัก สิ่งที่เขาต้องทำคือไปที่ไฟล์บันทึกการแก้ไขข้อบกพร่อง ซึ่งไม่ได้รับการป้องกันด้วยข้อจำกัดในการเข้าถึงเสมอไป ในบางกรณี ข้อมูลนี้จะถูกจัดเก็บไว้ในไดเรกทอรีที่สามารถเข้าถึงได้โดยสาธารณะบนเซิร์ฟเวอร์ ผู้โจมตีสามารถป้อน URL ที่เกี่ยวข้องลงในเบราว์เซอร์เพื่อเข้าถึงได้
มีการนำการแก้ไขไปใช้แล้ว
โชคดีที่ผู้พัฒนา LiteSpeed Cache สามารถแก้ไขสถานการณ์ได้อย่างรวดเร็ว ที่นั่นเวอร์ชัน 6.5.0.1 คุณปลั๊กอินซึ่งปรับใช้ไม่นานหลังจากการค้นพบข้อบกพร่อง ทำให้เกิดการเปลี่ยนแปลงในการจัดการบันทึกการแก้ไขข้อบกพร่อง ขณะนี้เอกสารนี้ถูกจัดเก็บไว้ในตำแหน่งเฉพาะและปลอดภัย นอกจากนี้ ตัวเลือกในการบันทึกคุกกี้ก็ถูกลบออกไปแล้ว
เราขอเชิญชวนผู้ดูแลระบบทุกคนที่เกี่ยวข้องให้ติดตั้งปลั๊กอินเวอร์ชันล่าสุดโดยเร็วที่สุด น่าเสียดายที่และไม่น่าแปลกใจที่มีผู้ดูแลระบบเพียงไม่กี่รายที่ประสบปัญหาในการติดตั้งแพตช์ WordPress ระบุว่าน้อยกว่า 400,000 คนได้ติดตั้งแพทช์แล้ว ไซต์นับล้านจึงยังคงมีช่องโหว่
นี่ยังห่างไกลจากครั้งแรกที่ปลั๊กอิน WordPress ได้รับความเดือดร้อนจากช่องโหว่ที่ทำให้เว็บไซต์หลายพันแห่งตกอยู่ในความเสี่ยง เมื่อไม่กี่เดือนที่ผ่านมา เว็บไซต์ที่ขับเคลื่อนด้วย WordPress หลายพันแห่งถูกแฮ็กเนื่องจากช่องโหว่ด้านความปลอดภัยภายใน Popup Builderซึ่งเป็นปลั๊กอินที่ให้คุณสร้างป๊อปอัปที่ปรับแต่งได้ซึ่งปรับให้เหมาะกับสมาร์ทโฟน การละเมิดดังกล่าวถูกนำไปใช้ประโยชน์หลายครั้งก่อนการอัปเดตจะถูกปรับใช้
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : คอมพิวเตอร์ส่งเสียงบี๊บ
