เมื่อวันที่ 8 กันยายนที่ผ่านมานี้ ทางทีม Wordfence Threat Intelligence ได้พบการโจมตีแบบ zero-day ผ่านช่องโหว่ของปลั๊กอิน WPGateway ซึ่งเป็นปลั๊กอินสำหรับ WordPress
ในตอนนี้แฮกเกอร์ได้มีการใช้ช่องโหว่จากปลั๊กอินนี้ทำการโจมตีเว็บไซต์อย่างแพร่หลาย ในช่วง 30 วันที่ผ่านมาทาง Wordfence เองได้พยายามบล็อกการโจมตีนี้กว่า 4.6 ล้านครั้ง บนเว็บไซต์กว่า 280,000 เว็บ
หมายเลขช่องโหว่นี้คือ CVE-2022-3180 ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอินตั้งแต่เวอร์ชัน 3.5 ลงไป ระดับความรุนแรงคือ 9.8 (ระดับสูง)
ช่องโหว่นี้จะช่วยให้แฮกเกอร์ได้รับสิทธิ์ระดับแอดมิน ทำให้สามารถแทรกไฟล์ที่เป็นอันตรายลงบนเว็บไซต์ได้ จากการที่ทีม Wordfence ได้ศึกษาจากการโจมตีนี้ พบว่า เว็บไซต์ที่ถูกโจมตีส่วนใหญ่จะมีแอดมินที่ใช้ชื่อว่า “rangex” อยู่
หากเว็บไซต์ของใครพบชื่อนี้อยู่ใน Dashboard ของเว็บไซต์ นั่นหมายถึงเว็บของคุณโดนโจมตีแล้ว
นอกจากนี้คุณยังสามารถตรวจสอบบันทึกคำร้องขอเข้าเว็บไซต์หากพบข้อความ //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 ในบันทึก นั่นหมายความว่าเว็บไซต์ของคุณตกเป็นเป้าการโจมตีด้วยช่องโหว่นี้แล้วเช่นกัน
ในตอนนี้ยังไม่มีแพตช์อัพเดตออกมา แนะนำให้ลบปลั๊กอินนี้ออกไปก่อนจนกว่าเวอร์ชันแก้ไขช่องโหว่นี้จะออกมา และสำคัญที่สุดให้คุณคอยตรวจเช็คใน Dashboard ว่ามีแอดมินชื่อแปลกๆ หรือชื่อที่เราไม่ได้เพิ่มเข้าไปหรือไม่ เพื่อเป็นการป้องกันการโจมตีรูปแบบนี้
ที่มา: Wordfence, The Hacker News