การโจมตีห่วงโซ่อุปทานปลั๊กอิน WordPress กำลังทวีความรุนแรงขึ้น โดยแฮกเกอร์ใช้ข้อมูลรหัสผ่านที่ถูกขโมยมาจากการรั่วไหลของข้อมูลอื่นๆ เพื่อเข้าถึงโค้ดของปลั๊กอินโดยตรง สิ่งที่น่ากังวลเป็นพิเศษคือการโจมตีเหล่านี้สามารถแทรกซึมเข้ามาได้อย่างแนบเนียน เนื่องจากผู้ใช้มองว่าเป็นเพียงการอัปเดตปลั๊กอินตามปกติ
การโจมตีห่วงโซ่อุปทาน คืออะไร?
ช่องโหว่ที่พบบ่อยที่สุดคือเมื่อข้อบกพร่องของซอฟต์แวร์ทำให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายหรือเปิดช่องทางการโจมตีอื่นๆ ได้ แต่การโจมตีห่วงโซ่อุปทานนั้นแตกต่างออกไป กล่าวคือ ตัวซอฟต์แวร์เองหรือส่วนประกอบของซอฟต์แวร์ (เช่น สคริปต์ของบุคคลที่สามที่ใช้ในซอฟต์แวร์) ถูกแก้ไขโดยตรงด้วยโค้ดที่เป็นอันตราย ทำให้เกิดสถานการณ์ที่ซอฟต์แวร์เองกลายเป็นผู้ส่งมอบไฟล์ที่เป็นอันตราย
หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ให้คำจำกัดความของการโจมตีห่วงโซ่อุปทานไว้ดังนี้:
“การโจมตีห่วงโซ่อุปทานซอฟต์แวร์เกิดขึ้นเมื่อผู้โจมตีทางไซเบอร์แทรกซึมเข้าสู่เครือข่ายของผู้ผลิตซอฟต์แวร์และใช้โค้ดที่เป็นอันตรายเพื่อบ่อนทำลายซอฟต์แวร์ก่อนที่ผู้ผลิตจะส่งให้กับลูกค้า ซอฟต์แวร์ที่ถูกบ่อนทำลายจะส่งผลกระทบต่อข้อมูลหรือระบบของลูกค้า
ซอฟต์แวร์ที่เพิ่งได้รับอาจถูกบ่อนทำลายตั้งแต่แรก หรืออาจเกิดขึ้นผ่านวิธีอื่นๆ เช่น การแพทช์หรือฮอตฟิกซ์ ในกรณีเหล่านี้ การบ่อนทำลายยังคงเกิดขึ้นก่อนที่แพทช์หรือฮอตฟิกซ์จะเข้าสู่เครือข่ายของลูกค้า การโจมตีประเภทนี้ส่งผลกระทบต่อผู้ใช้ซอฟต์แวร์ที่ถูกบ่อนทำลายทั้งหมด และอาจมีผลกระทบอย่างกว้างขวางต่อรัฐบาล โครงสร้างพื้นฐานที่สำคัญ และลูกค้าซอฟต์แวร์ในภาคเอกชน”
สำหรับการโจมตีปลั๊กอิน WordPress โดยเฉพาะนี้ ผู้โจมตีใช้ข้อมูลรหัสผ่านที่ถูกขโมยมาเพื่อเข้าถึงบัญชีนักพัฒนาที่มีสิทธิ์เข้าถึงโค้ดปลั๊กินโดยตรง จากนั้นจึงเพิ่มโค้ดที่เป็นอันตรายเข้าไปในปลั๊กินเพื่อสร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบในทุกเว็บไซต์ที่ใช้ปลั๊กอิน WordPress ที่ถูกบ่อนทำลายนั้น
ล่าสุด Wordfence ได้ประกาศว่ามีการระบุปลั๊กอิน WordPress เพิ่มเติมที่ถูกบ่อนทำลาย มีความเป็นไปได้สูงว่าจะมีปลั๊กอินอื่นๆ อีกที่ถูกหรือกำลังจะถูกบ่อนทำลาย ดังนั้นจึงเป็นเรื่องสำคัญที่ต้องทำความเข้าใจสถานการณ์และเตรียมพร้อมป้องกันเว็บไซต์ที่อยู่ภายใต้การควบคุมของคุณ
ปลั๊กอิน WordPress ที่ถูกโจมตีเพิ่มเติม
Wordfence ได้ออกคำเตือนว่ามีปลั๊กอินเพิ่มเติมที่ถูกบ่อนทำลาย รวมถึงปลั๊กอินยอดนิยมสำหรับการทำพอดคาสต์ที่ชื่อว่า PowerPress Podcasting plugin โดย Blubrry
ต่อไปนี้คือปลั๊กอินที่ถูกบ่อนทำลายที่ค้นพบล่าสุดตามประกาศของ Wordfence:
- WP Server Health Stats (wp-server-stats): เวอร์ชัน 1.7.6
- เวอร์ชันที่แก้ไขแล้ว: 1.7.8
- มีการติดตั้งที่ใช้งานอยู่ 10,000 ครั้ง
- Ad Invalid Click Protector (AICP) (ad-invalid-click-protector): เวอร์ชัน 1.2.9
- เวอร์ชันที่แก้ไขแล้ว: 1.2.10
- มีการติดตั้งที่ใช้งานอยู่มากกว่า 30,000 ครั้ง
- PowerPress Podcasting plugin by Blubrry (powerpress): เวอร์ชัน 11.9.3 – 11.9.4
- เวอร์ชันที่แก้ไขแล้ว: 11.9.6
- มีการติดตั้งที่ใช้งานอยู่มากกว่า 40,000 ครั้ง
- Seo Optimized Images (seo-optimized-images): เวอร์ชัน 2.1.2
- เวอร์ชันที่แก้ไขแล้ว: 2.1.4
- มีการติดตั้งที่ใช้งานอยู่มากกว่า 10,000 ครั้ง
- Pods – Custom Content Types and Fields (pods): เวอร์ชัน 3.2.2
- ยังไม่มีเวอร์ชันที่แก้ไขในปัจจุบัน
- มีการติดตั้งที่ใช้งานอยู่มากกว่า 100,000 ครั้ง
- Twenty20 Image Before-After (twenty20): เวอร์ชัน 1.6.2, 1.6.3, 1.5.4
- ยังไม่มีเวอร์ชันที่แก้ไขในปัจจุบัน
- มีการติดตั้งที่ใช้งานอยู่มากกว่า 20,000 ครั้ง
นอกจากนี้ ยังมีกลุ่มปลั๊กอินแรกที่ถูกบ่อนทำลาย ได้แก่:
- Social Warfare
- Blaze Widget
- Wrapper Link Element
- Contact Form 7 Multi-Step Addon
- Simply Show Hooks
สิ่งที่ควรทำหากใช้ปลั๊กอินที่ถูกบ่อนทำลาย
แม้ว่าบางปลั๊กอินจะได้รับการอัปเดตเพื่อแก้ไขปัญหาแล้ว แต่ก็ยังไม่ครบทุกตัว ไม่ว่าปลั๊กอินที่ถูกบ่อนทำลายจะได้รับการแก้ไขเพื่อลบโค้ดที่เป็นอันตรายและอัปเดตรหัสผ่านของนักพัฒนาแล้วหรือไม่ก็ตาม เจ้าของเว็บไซต์ควรตรวจสอบฐานข้อมูลของตนเพื่อให้แน่ใจว่าไม่มีบัญชีผู้ดูแลระบบที่ไม่พึงประสงค์ถูกเพิ่มเข้ามาในเว็บไซต์ WordPress
การโจมตีนี้สร้างบัญชีผู้ดูแลระบบด้วยชื่อผู้ใช้ “Options” หรือ “PluginAuth” ดังนั้นจึงควรเฝ้าระวังชื่อผู้ใช้เหล่านี้ อย่างไรก็ตาม อาจเป็นการดีที่จะมองหาบัญชีผู้ใช้ระดับผู้ดูแลระบบใหม่ๆ ที่ไม่คุ้นเคยด้วย เผื่อกรณีที่การโจมตีได้พัฒนาไปและแฮกเกอร์กำลังใช้บัญชีผู้ดูแลระบบที่แตกต่างออกไป
เจ้าของเว็บไซต์ที่ใช้ปลั๊กอินความปลอดภัย WordPress ของ Wordfence ทั้งเวอร์ชันฟรีและ Pro จะได้รับการแจ้งเตือนหากมีการค้นพบปลั๊กอินที่ถูกบ่อนทำลาย ผู้ใช้ระดับ Pro ของปลั๊กอินจะได้รับลายเซ็นมัลแวร์สำหรับตรวจจับปลั๊กอินที่ติดเชื้อได้ทันที
คำเตือนอย่างเป็นทางการจาก Wordfence เกี่ยวกับปลั๊กอินที่ติดเชื้อใหม่เหล่านี้แนะนำว่า:
“หากคุณมีปลั๊กอินเหล่านี้ติดตั้งอยู่ คุณควรถือว่าการติดตั้งของคุณถูกบุกรุกแล้วและเข้าสู่โหมดตอบสนองต่อเหตุการณ์ทันที เราแนะนำให้ตรวจสอบบัญชีผู้ใช้ระดับผู้ดูแลระบบ WordPress ของคุณและลบบัญชีที่ไม่ได้รับอนุญาต พร้อมทั้งทำการสแกนมัลแวร์อย่างสมบูรณ์ด้วยปลั๊กอิน Wordfence หรือ Wordfence CLI และลบโค้ดที่เป็นอันตรายทั้งหมด
ผู้ใช้ Wordfence Premium, Care และ Response รวมถึงผู้ใช้ Wordfence CLI แบบชำระเงิน จะมีลายเซ็นมัลแวร์สำหรับตรวจจับมัลแวร์นี้ ผู้ใช้ Wordfence แบบฟรีจะได้รับการตรวจจับเดียวกันหลังจากล่าช้าไป 30 วันในวันที่ 25 กรกฎาคม 2024 หากคุณกำลังใช้งานเวอร์ชันที่เป็นอันตรายของปลั๊กอินใดปลั๊กอินหนึ่ง คุณจะได้รับแจ้งจาก Wordfence Vulnerability Scanner ว่าคุณมีช่องโหว่บนเว็บไซต์ของคุณ และคุณควรอัปเดตปลั๊กอินหากมีเวอร์ชันใหม่หรือลบออกโดยเร็วที่สุด”
วิธีป้องกันเว็บไซต์ WordPress จากการโจมตีห่วงโซ่อุปทาน
- อัปเดตปลั๊กอินและธีมอย่างสม่ำเสมอ: ตรวจสอบและติดตั้งอัปเดตที่มีอยู่ทันทีที่เป็นไปได้
- ใช้รหัสผ่านที่แข็งแกร่ง: ใช้รหัสผ่านที่ซับซ้อนและไม่ซ้ำกันสำหรับบัญชี WordPress ทั้งหมด
- เปิดใช้งานการรับรองความถูกต้องแบบสองปัจจัย (2FA): เพิ่มชั้นความปลอดภัยให้กับบัญชีของคุณ
- จำกัดการเข้าถึงแดชบอร์ดผู้ดูแลระบบ: ให้สิทธิ์เฉพาะผู้ใช้ที่จำเป็นเท่านั้น
- ตรวจสอบบัญชีผู้ใช้เป็นประจำ: ค้นหาบัญชีที่น่าสงสัยหรือไม่ได้รับอนุญาต
- ใช้ปลั๊กอินรักษาความปลอดภัย: พิจารณาติดตั้งโซลูชันความปลอดภัยที่เชื่อถือได้เช่น Wordfence
- สำรองข้อมูลเว็บไซต์อย่างสม่ำเสมอ: เก็บสำเนาล่าสุดของเว็บไซต์ไว้ในกรณีที่ต้องกู้คืน
- ติดตามข่าวสารความปลอดภัย: ติดตามประกาศและการอัปเดตล่าสุดจากชุมชน WordPress
- ใช้โฮสติ้งที่น่าเชื่อถือ: เลือกผู้ให้บริการโฮสติ้งที่มีมาตรการรักษาความปลอดภัยที่แข็งแกร่ง
- ตรวจสอบไฟล์และฐานข้อมูลเป็นประจำ: มองหาการเปลี่ยนแปลงหรือกิจกรรมที่น่าสงสัย
สรุป
การโจมตีห่วงโซ่อุปทานปลั๊กอิน WordPress เป็นภัยคุกคามที่เพิ่มขึ้นอย่างต่อเนื่องต่อความปลอดภัยของเว็บไซต์ ผู้ใช้ WordPress ต้องตื่นตัวและใช้มาตรการป้องกันเชิงรุกเพื่อปกป้องเว็บไซต์ของตน การอัปเดตปลั๊กอินอย่างสม่ำเสมอ การใช้แนวปฏิบัติด้านความปลอดภัยที่แข็งแกร่ง และการตรวจสอบเว็บไซต์อย่างสม่ำเสมอเป็นสิ่งสำคัญในการลดความเสี่ยง โดยการทำตามคำแนะนำที่ให้ไว้และคอยติดตามข่าวสารล่าสุดเกี่ยวกับภัยคุกคามด้านความปลอดภัย เจ้าของเว็บไซต์สามารถปกป้องตนเองจากการโจมตีที่อาจเกิดขึ้นและรักษาความปลอดภัยของเว็บไซต์ WordPress ของตนได้อย่างมีประสิทธิภาพ
