Skip to toolbar

แฮกเกอร์กำลังสร้างบัญชีลับๆและไฟล์คุกกี้บนเว็บไซต์ WordPress ที่ใช้ OneTone

แฮกเกอร์กำลังสร้างบัญชีลับๆและไฟล์คุกกี้บนเว็บไซต์ WordPress ที่ใช้ OneTone

การโจมตีเริ่มต้นเดือนก่อนหน้านี้หลังจากที่นักพัฒนา WordPress ธีมไม่ได้ปล่อยแพทช์สําหรับข้อผิดพลาดเล็กน้อย

แฮกเกอร์มีเป้าหมายอย่างแข็งขันเว็บไซต์ WordPress ใช้ธีม OneTone เพื่อใช้ประโยชน์จากช่องโหว่ที่อนุญาตให้อ่านและเขียนคุกกี้เว็บไซต์และสร้างบัญชีผู้ดูแลระบบลับๆ

แคมเปญได้ไปตั้งแต่เริ่มต้นของเดือนและก็ยังคงกําลังดําเนินการ

ช่องโหว่ที่เป็นสคริปต์ข้ามไซต์ (XSS) ข้อผิดพลาดในOneTone, ชุดรูปแบบ WordPress ที่เป็นที่นิยม แต่ไม่สนับสนุนในขณะนี้พัฒนาโดย Magee WP, ที่มีอยู่ในทั้งรุ่นฟรีและจ่ายเงิน.

ช่องโหว่ที่ยังไม่แก้ไข

ช่องโหว่ XSS ช่วยให้ผู้โจมตีสามารถใส่โค้ดที่เป็นอันตรายภายในการตั้งค่าของชุดรูปแบบ ข้อผิดพลาดถูกค้นพบโดยเจอโรมของ NinTechNet Bruandetกันยายนปีที่แล้วและรายงานไปยังผู้เขียนชุดรูปแบบและทีมงาน WordPress

Magee WP ซึ่งเว็บไซต์ไม่ได้รับการอัปเดตใดๆ นับตั้งแต่ปี 2018 ไม่ได้เปิดตัวแก้ไข ทีม WordPress ได้ยกเลิกรายการธีมเวอร์ชันฟรีจากพื้นที่เก็บข้อมูล WordPress อย่างเป็นทางการในเดือนต่อมาในเดือนตุลาคม 2019

ผู้โจมตีเริ่มใช้ประโยชน์จากข้อบกพร่องนี้เมื่อต้นเดือนนี้ตามรายงานจาก บริษัท รักษาความปลอดภัยทางไซเบอร์ของ GoDaddy

ผู้เชี่ยวชาญ Sucuri กล่าวว่าแฮกเกอร์ได้ใช้ข้อผิดพลาด XSS เพื่อแทรกรหัสที่เป็นอันตรายภายในการตั้งค่าชุดรูปแบบ OneTone เนื่องจากธีมจะตรวจสอบการตั้งค่าเหล่านี้ก่อนที่จะโหลดหน้าเว็บใดๆ โค้ดจะทริกเกอร์ในทุกหน้าของไซต์ที่มีความเสี่ยง

ขโมยการจราจรและการสร้างบัญชีลับๆ

ลุค ลีล ของซูคูรี่บอกว่า รหัสมีสองหน้าที่หลัก หนึ่งคือการเปลี่ยนเส้นทางบางส่วนของผู้ใช้ขาเข้าของไซต์ไปยังระบบการกระจายการจราจรที่โฮสต์ที่ischeck [.] ในขณะที่ฟังก์ชั่นที่สองสร้างกลไกลับๆ

อย่างไรก็ตามกลไกลับๆอยู่เฉยๆสําหรับผู้ใช้ส่วนใหญ่ที่เข้าชมเว็บไซต์ มันจะทริกเกอร์เมื่อผู้ดูแลไซต์เข้าเยี่ยมชมไซต์เท่านั้น

โค้ดที่เป็นอันตรายสามารถรับรู้ผู้ดูแลไซต์ที่เข้าชมไซต์จากผู้ใช้ทั่วไปเนื่องจากจะมองหาแถบเครื่องมือของ WordPress admin ที่ด้านบนของหน้าซึ่งจะปรากฏเฉพาะสําหรับผู้ดูแลระบบที่เข้าสู่ระบบเท่านั้น

one-tone-admin-dashboard.png
ภาพ: ซูคูริ

เมื่อตรวจพบผู้ใช้ระดับผู้ดูแลระบบรหัสที่เป็นอันตราย XSS จะดําเนินการชุดของการดําเนินงานอัตโนมัติเงียบใช้ประโยชน์จากการเข้าถึงของผู้ใช้ผู้ดูแลระบบโดยปราศจากความรู้ของพวกเขา

Leal กล่าวว่า แบ็คดอร์ถูกสร้างขึ้นในสองวิธี – โดยการเพิ่มบัญชีผู้ดูแลระบบในแดชบอร์ด WordPress (ระบบชื่อระบบ) หรือโดยการสร้างไฟล์คุกกี้ระดับบัญชีผู้ดูแลระบบบนฝั่งเซิร์ฟเวอร์ (ไฟล์คุกกี้ชื่อTho3faeK)

บทบาทของแบ็คดอร์ที่สองคือการให้การเข้าถึงผู้โจมตีไปยังไซต์ในกรณีที่โค้ด XSS ถูกลบออกจากการตั้งค่า OneTone หรือช่องโหว่ XSS OneTone ได้รับการแก้ไข

น่าเศร้าที่ดูเหมือนว่าการแก้ไขจะไม่สามารถใช้ได้ แม้ว่าจะได้รับแจ้งเมื่อปีที่แล้ว บริษัท ไม่ตอบสนองต่อการร้องขอความคิดเห็นจาก Sucuri สองสัปดาห์ที่ผ่านมาและมันก็ไม่ตอบสนองต่ออีเมลที่คล้ายกันที่ส่งโดยZDNetสัปดาห์ที่ผ่านมา

การโจมตีที่กําหนดเป้าหมายไซต์ OneTone ยังคงอยู่อย่างต่อเนื่อง สองสัปดาห์ที่ผ่านมา Sucuri รายงานว่ามากกว่า 20,000 เว็บไซต์ WordPress ได้ใช้ธีม OneTone.

วันนี้จํานวนได้ลงไป ภายใต้ 16,000 แห่งเป็นเจ้าของเว็บไซต์เริ่มย้ายไปรูปแบบอื่น ๆ ในแง่ของการ hacks อย่างต่อเนื่องในปัจจุบัน

ที่มา https://www.zdnet.com/article/hackers-are-creating-backdoor-accounts-and-cookie-files-on-wordpress-sites-running-onetone/

Admin

Admin

ผมชื่อ ถาวร ศรีเสนพิลา ชอบในการเขียนโปรแกรมภาษาต่างๆ ไม่ว่าจะเป็น JAVA, PHP, C/C++, Visual Basic, Swift, Dart และหลงใหลการออกแบบฐานข้อมูล ปัจจุบันยังคงศึกษาพัฒนาความรู้ตัวเองอย่างต่อเนื่อง

Leave a Reply

Your email address will not be published.