ตรวจพบ ปลั๊กอิน Gravity Forms ปลอม มุ่งฝังมัลแวร์ลงบนเว็บไซต์ WordPress

WordPress ถึงแม้จะเป็นเครื่องมือสำหรับการพัฒนาเว็บไซต์ที่เป็นที่นิยมสูงสุด แต่ก็ถือว่าเป็นเครื่องมือที่จะมาคู่กับมัลแวร์ และการโจมตีทางไซเบอร์ไปเป็นที่เรียบร้อยแล้ว และในคราวนี้ก็เช่นกัน

จากรายงานโดยเว็บไซต์ Security Week ได้กล่าวถึงการตรวจพบปลั๊กอินปลอมที่อ้างตัวว่าเป็นปลั๊กอิน Gravity Forms ซึ่งเป็นเครื่องมือสร้างแบบฟอร์มยอดนิยมบนเว็บไซต์ที่ใช้งาน WordPress ในการสร้าง โดยมีผู้ใช้งานมากกว่า 1 ล้านรายทั่วโลก จากหน้าตาการใข้งานที่ง่าย และมีฟีเจอร์ในการใช้งานที่เป็นประโยชน์ต่อการสร้างเว็บไซต์มากมายหลายอย่าง ซึ่งปลั๊กอิน (ปลอม) ซึ่งแท้จริงนั้นเป็นตัวปลั๊กอิน Gravity Forms ที่แฮกเกอร์นำเอามาสอดไส้มัลแวร์ ทำให้ถึงแม้จากภายนอกจะทำงานได้จริงเหมือนเวอร์ชันที่ไม่มีมัลแวร์ แต่เบื้องหลังกลับช่วยให้แฮกเกอร์ ซึ่งเป็นผู้ใช้งานที่ไม่ได้รับอนุญาตให้เข้าถึงระบบ (Unauthenticated User) เข้ามาทำการรันโค้ดจากระยะไกล (Remote Code Execution หรือ RCE) เพื่อเข้าควบคุมเว็บไซต์ได้

โดยมัลแวร์ที่ถูกฝังอยู่บนปลั๊กอินนั้น จะทำการสร้างบัญชีใช้งาน WordPress ในระดับผู้ดูแล (Administrator) พร้อมทั้งทำการเปิดประตูหลังของระบบ (Backdoor) เพื่อให้แฮกเกอร์ที่อยู่เบื้องหลังเข้ามาใช้งานระบบของเว็บไซต์เพื่อติดตั้งมัลแวร์ หรือ อุปกรณ์การแฮกเพิ่มเติม รวมทั้งช่วยให้แฮกเกอร์สามารถเข้าทำการขโมยข้อมูลต่าง ๆ บนเว็บไซต์ได้อีกด้วย

ซึ่งในการแพร่กระจายมัลแวร์ดังกล่าวนั้นก็เรียกว่าไม่ธรรมดา เพราะแทนที่จะเป็นการแพร่กระจายผ่านทางเว็บไซต์ปลอม ตัวปลั๊กอินปนเปื้อนมัลแวร์กลับมีให้ดาวน์โหลดบนหน้าเว็บไซต์อย่างเป็นทางการ โดยตัวปลั๊กอินเวอร์ชันปนเปื้อนมัลแวร์นั้นจะเป็นปลั๊กอิน Gravity Forms เวอร์ชัน 2.9.11.1 และ 2.9.12 ที่ถูกปล่อยให้ดาวน์โหลดในช่วงวันที่ 9 และ 10 กรกฎาคม ที่ผ่านมา ก่อนที่จะถูกปักธงว่าเป็นอันตราย (Flagged) หลังจากที่ทางทีมวิจัยจาก Patchstack บริษัทผู้เชี่ยวชาญด้านการตรวจหาช่องโหว่ด้านความปลอดภัยบน Wordpreess พบว่าปลั๊กอินดังกล่าวได้มีการส่ง HTTP Requests ไปยังโดเมนต้องสงสัยที่ถูกสร้างขึ้นในวันที่ 8 กรกฎาคม ที่ผ่านมา ด้วยรูปแบบการแพร่กระจายมัลแวร์ที่อุกอาจดังกล่าว ทำให้ผู้เชี่ยวชาญคาดว่าเหตุการณ์ดังกล่าวมาจากการที่ทางผู้พัฒนาถูกโจมตีในส่วนของห่วงโซ่อุปทาน (Supply Chain Attacks) นำไปสู่การถูกอัปโหลดปลั๊กอินแฝงมัลแวร์ขึ้นบนเว็บไซต์อย่างเป็นทางการ

ถึงแม้เวอร์ชันที่ให้ดาวน์โหลดบนเว็บไซต์จะติดมัลแวร์ก็ตาม เวอร์ชันที่ถูกอัปเดตผ่านทางระบบอัปเดตของปลั๊กอินรุ่นก่อนหน้านั้นไม่ได้ติดมัลแวร์แต่อย่างใด ดังนั้นผู้ที่ใช้งานเวอร์ชันที่เป็นประเด็นจากการทำอัปเดตผ่านทางระบบภายในหรืออัปเดตแบบอัตโนมัตินั้น ขอให้สบายใจได้เพราะไม่ติดมัลแวร์อย่างแน่นอน ส่วนผู้ที่ดาวน์โหลดผ่านทางเว็บไซต์และเผลอติดตั้งไปแล้ว ขอให้อัปเดตเป็นเวอร์ชันล่าสุดนั่นคือ เวอร์ชัน 2.9.13 ซึ่งทางผู้พัฒนาได้จัดทำให้มีความสามารถในการล้างโค้ดของมัลแวร์ที่ติดมาจากเวอร์ชันดาวน์โหลดจากหน้าเว็บไซต์โดยด่วน ก่อนที่เว็บไซต์จะถูกแฮกจนกู้คืนไม่ได้

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv