97/67 (IT) ประจำวันอังคารที่ 12 มีนาคม 2567
พบแฮกเกอร์กำลังโจมตีเว็บไซต์ WordPress โดยใช้ช่องโหว่ CVE-2023-6000 ที่อยู่ในปลั๊กอิน Popup Builder เวอร์ชันเก่า โดยเริ่มจากในเดือนมกราคม นักวิจัยของ Sucuri รายงานว่าพบมัลแวร์ Balada Injector โจมตีเว็บไซต์ WordPress มากกว่า 7,100 แห่ง โดยใช้ช่องโหว่ของปลั๊กอิน Popup Builder ใน WordPress เวอร์ชันที่มีช่องโหว่ ตามรายงานระบุว่าในวันที่ 13 ธันวาคม แคมเปญ Balada Injector เริ่มแพร่ระบาดไปยังเว็บไซต์โดยใช้ Popup Builder เวอร์ชันเก่า ( CVE-2023-6000 , CVSS คะแนน 8.8 ) ปลั๊กอิน POPUP BUILDER ก่อนเวอร์ชัน 4.2.3 ซึ่งในช่วงสามสัปดาห์ที่ผ่านมา นักวิจัยสังเกตเห็นว่ามีการโจมตีเพิ่มขึ้นอย่างรวดเร็วจากแคมเปญมัลแวร์ใหม่ ซึ่งเช่นเดียวกันนี้ใช้ประโยชน์จากช่องโหว่เดียวกันใน Popup Builder จากข้อมูลของ PublicWWW ผู้เป็นภัยคุกคามได้โจมตีเว็บไซต์มากกว่า 3,300 แห่งแล้ว และเครื่องสแกนมัลแวร์ระยะไกล SiteCheck ของ Sucuri ก็ได้ตรวจพบมัลแวร์ Balada Injector บนเว็บไซต์มากกว่า 1,170 แห่ง โดยการโจมตีเหล่านี้เกิดขึ้นจาก 2 โดเมนที่จดทะเบียนเมื่อวันที่ 12 กุมภาพันธ์ 2024 คือ ttincoming.traveltraffic[.]cc และ host.cloudsonicwave[.]com โดยผู้คุกคามจะใช้ประโยชน์จากช่องโหว่ในปลั๊กอิน Popup Builder เพื่อแทรกโค้ดที่เป็นอันตรายในส่วน Custom JS หรือ CSS ของอินเทอร์เฟซผู้ดูแลระบบ WordPress ซึ่งจัดเก็บไว้ภายในในตารางฐานข้อมูล wp postmeta ดังนั้น ผู้ดูแลเว็บไซต์ที่ใช้ปลั๊กอิน Popup Builder ควรเร่งทำการอัปเกรดให้เป็นเวอร์ชันล่าสุดทันที และหากผู้ดูแลระบบของเว็บไซต์ WordPress ที่ติดมัลแวร์อยู่แล้ว จะต้องทำการลบการแทรกที่เป็นอันตรายออกจากส่วน “Custom JS หรือ CSS” ของ Popup Builder ในอินเทอร์เฟซผู้ดูแลระบบของ WordPress จากนั้น จะต้องสแกนเว็บไซต์ในระดับไคลเอนต์และเซิร์ฟเวอร์เพื่อค้นหาแบ็คดอร์เว็บไซต์ที่ซ่อนอยู่และทำการลบออกทันที
แหล่งข่าว https://securityaffairs.com/160329/hacking/wordpress-popup-builder-plugin-bug.html
