ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) เตือนระวัง พบช่องโหว่ในปลั๊กอิน Yuzo Related Posts บน WordPress อาจถูกฝังโค้ดอันตรายในเว็บไซต์ พบการโจมตีแล้ว ตรวจสอบด่วน

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) แจ้งภัยคุกคามไซเบอร์ เมื่อวันที่ 11 เม.ย. 2562 ว่าYuzo Related Posts เป็นปลั๊กอินของ WordPress ที่ได้รับความนิยม โดยมียอดติดตั้งแล้วกว่า 60,000 เว็บไซต์ (https://wordpress.org/plugins/yuzo-related-post/) เมื่อวันที่ 30 มีนาคม 2562 นักวิจัยด้านความมั่นคงปลอดภัยได้เปิดเผยข้อมูลช่องโหว่ประเภท Cross-Site Scripting (XSS) ในปลั๊กอินดังกล่าว ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถแทรกโค้ดอันตรายลงในหน้าเว็บไซต์ได้ การเปิดเผยข้อมูลในครั้งนี้มาพร้อมกับตัวอย่างโค้ดสำหรับใช้โจมตีช่องโหว่ อย่างไรก็ตาม เนื่องจากผู้เปิดเผยช่องโหว่ไม่ได้แจ้งเรื่องนี้ให้ทางผู้พัฒนาทราบล่วงหน้า อีกทั้งข้อมูลวิธีการโจมตีถูกเผยแพร่ออกมาโดยที่ยังไม่มีแพตช์ ผู้ประสงค์ร้ายจึงนำช่องทางดังกล่าวไปโจมตีเว็บไซต์ที่ใช้งานปลั๊กอินนี้ ส่งผลให้นักพัฒนาต้องระงับการเผยแพร่ปลั๊กอินเป็นการชั่วคราวและแจ้งเตือนให้ผู้ดูแลระบบตรวจสอบว่าถูกโจมตีหรือไม่

ช่องโหว่ XSS เปิดโอกาสให้ผู้ประสงค์ร้ายแทรกโค้ดอันตรายเข้าไปในหน้าเว็บไซต์ได้ ซึ่งอาจเป็นสคริปต์สำหรับแก้ไขการแสดงผล ขโมยข้อมูล เปลี่ยนช่องทางไปยังเว็บไซต์อื่น หรือใช้เป็นช่องทางแพร่กระจายมัลแวร์ได้ นักวิจัยพบว่าตัวปลั๊กอินอนุญาตให้แก้ไขข้อมูลการตั้งค่าโดยไม่มีการตรวจสอบว่าผู้ใช้นั้นมีสิทธิ์แก้ไขข้อมูลหรือไม่ ทำให้ผู้ประสงค์ร้ายสามารถใช้ช่องทางนี้ในการโจมตีได้ โดยภายหลังจากการเผยแพร่ข้อมูลช่องโหว่พบรายงานเว็บไซต์ที่ใช้ปลั๊กอิน Yuzo Related Posts หลายแห่งถูกโจมตีฝังโค้ดอันตรายเพื่อเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมหลอกขโมยข้อมูล

ณ เวลาที่เผยแพร่บทความนี้ ปลั๊กอิน Yuzo Related Posts ยังอยู่ระหว่างการระงับดาวน์โหลด ทั้งนี้ยังไม่มีข้อมูลยืนยันว่าเวอร์ชันใดได้รับผลกระทบบ้าง โดยปลั๊กอินเวอร์ชันล่าสุดก่อนที่จะถูกระงับการดาวน์โหลดคือเวอร์ชัน 5.12.89 ผู้ดูแลเว็บไซต์ WordPress ที่ติดตั้งปลั๊กอิน Yuzo Related Posts ควรถอนการติดตั้งปลั๊กอินดังกล่าวเป็นการชั่วคราวจนกว่าทางผู้พัฒนาจะออกเวอร์ชันใหม่ที่ได้รับการแก้ไขช่องโหว่แล้ว

ในกรณีที่เว็บไซต์ที่ถูกโจมตี ทางผู้พัฒนาปลั๊กอินได้ชี้แจ้งวิธีแก้ไขปัญหาเบื้องต้นโดยเข้าไปยังฐานข้อมูลของเว็บไซต์ ในตาราง wp_options ลบแอตทริบิวต์ yuzo_related_post_options ออก อย่างไรก็ตาม ข้อมูลนี้ยังไม่ใช่ข้อแนะนำในการแก้ไขปัญหาอย่างเป็นทางการ เป็นเพียงการตอบในฟอรั่มของผู้พัฒนา และเนื่องจากการแก้ไขปัญหาจำเป็นต้องเข้าไปแก้ที่ฐานข้อมูล ผู้ดูแลระบบควรสำรองข้อมูลไว้ก่อนที่จะดำเนินการแก้ไข เพื่อป้องกันความผิดพลาดที่อาจเกิดขึ้นได้