แคมเปญโจมตีขนาดใหญ่ที่กำหนดเป้าหมายปลั๊กอิน WordPress ยอดนิยมสองตัว – Elementor Pro และ Ultimate Add-on สำหรับ Elementor ได้รับการระบุแล้ว เว็บไซต์ WordPress มากกว่าหนึ่งล้านแห่งที่ติดตั้งปลั๊กอินเหล่านี้เป็นเป้าหมายหลัก เนื่องจากช่องโหว่ซีโร่เดย์เริ่มปรากฏให้เห็น ผู้พัฒนาปลั๊กอินของ Elementor และ Ultimate Addons สำหรับ Elementor จึงรีบแก้ไขช่องโหว่ ปลั๊กอินทั้งสองได้รับแพตช์ในเวอร์ชันที่อัปเดตแล้ว ซึ่งได้แก่ :
- Elementor Pro:2.9.4
- ส่วนเสริมขั้นสูงสำหรับ Elementor:1.24.2
โปรดอัปเดตเป็นเวอร์ชันเหล่านี้จากเวอร์ชันก่อนหน้าที่คุณอาจมีหากยังไม่มี
อัปเดตเมื่อ 6 มิถุนายน 2020: พบช่องโหว่ XSS ที่สำคัญอีกจุดหนึ่งในปลั๊กอิน Elementor Page Builder ช่องโหว่นี้ทำให้ผู้ใช้ระดับผู้เขียนสามารถสร้างลิงก์ที่กำหนดเองพร้อมกับเพย์โหลด XSS ที่อาจเป็นอันตราย และสร้างแอตทริบิวต์ที่กำหนดเองให้กับวิดเจ็ต ซึ่งจะกลายเป็นความเสี่ยงของ XSS ที่เก็บไว้อีกครั้ง Patch ได้รับการเผยแพร่ใน เวอร์ชัน 2.9.10 . โปรดอัปเดตเป็นเวอร์ชันนี้โดยเร็วที่สุด
เพิ่มเติมเกี่ยวกับการแฮ็ก…
ช่องโหว่ใน Elementor Pro อนุญาตให้ใช้การเรียกใช้โค้ดจากระยะไกลบนเว็บไซต์ WP ด้วยการลงทะเบียนแบบเปิด ช่องโหว่นี้เกิดจากสิทธิ์ในการอัปโหลดไฟล์ที่มอบให้กับผู้ใช้ระดับสมาชิก สมาชิกได้รับอนุญาตให้อัปโหลดชุดไอคอน (ในรูปแบบ zip) บนเว็บไซต์
เนื่องจาก Elementor Pro ยังขาดการตรวจสอบความถูกต้อง จึงอนุญาตให้อัปโหลดส่วนขยายและเนื้อหาที่น่าสงสัยได้ ดังนั้นแฮ็กเกอร์ที่มีการตรวจสอบสิทธิ์ระดับขั้นต่ำจึงสามารถอัปโหลดไฟล์ .zip ที่มีโค้ดอันตรายที่เรียกใช้งานได้ เมื่อรันโค้ดแล้ว ผู้โจมตีจะทำอะไรก็ได้ ตั้งแต่การอัปโหลดเชลล์หรือมัลแวร์ไปจนถึงการแทรกแบ็คดอร์ การเพิ่มผู้ใช้ปลอม การเข้าถึงระดับผู้ดูแลระบบ การแก้ไขการตั้งค่า ไปจนถึงการลบเว็บไซต์ทั้งหมด
ในแพตช์ที่ Elementor Pro เปิดตัว ตอนนี้ได้เพิ่มโค้ดต่อไปนี้เพื่อตรวจสอบเนื้อหาไฟล์ของ zip อนุญาตให้อัปโหลดเฉพาะรูปแบบไฟล์ CSS, EOT, HTML, JSON, OTF, SVG และอื่นๆ เท่านั้น
พวกเขาเพิ่มโปรแกรมแก้ไขอื่นเพื่ออนุญาตให้ผู้ใช้ที่ได้รับอนุญาตเท่านั้น (ที่มีระดับการเข้าถึงของผู้ดูแลระบบและผู้ดูแลระบบระดับสูง) ในการอัปโหลดไฟล์ หากผู้ใช้ที่มีบทบาทเป็นสมาชิกพยายามอัปโหลดไฟล์ zip จะเกิดข้อผิดพลาด
ปลั๊กอินเสริม Ultimate ไม่มีกฎการอัปโหลดไฟล์เช่นนี้ อย่างไรก็ตาม อนุญาตให้ทุกคนเข้าถึงเว็บไซต์ระดับสมาชิกได้ แม้ในกรณีที่ไม่มีแบบฟอร์มการลงทะเบียนที่ใช้งานอยู่
ช่องโหว่นี้ใน Ultimate Addons สำหรับ Elementor ช่วยให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ RCE ที่สำคัญกว่าใน Elementor Pro ดังนั้น แม้ว่าเว็บไซต์จะไม่ได้โฮสต์แบบฟอร์มการลงทะเบียน ผู้โจมตีก็สามารถเพิ่มตัวเองเป็นสมาชิกได้ ซึ่งเป็นข้อกำหนดขั้นต่ำในการใช้ประโยชน์จากช่องโหว่ RCE ใน Elementor Pro
ในที่นี้ เราต้องพูดถึงว่าช่องโหว่นี้มีเฉพาะใน Elementor Pro และผู้ใช้ Elementor เวอร์ชันฟรีจะปลอดภัยจากการโจมตี
ควบคุมความเสียหาย!
หากคุณเป็นลูกค้าของ Astra คุณไม่จำเป็นต้องกังวลเพราะ Astra บล็อกการอัปโหลดไฟล์ดังกล่าวแล้ว เพื่อให้แน่ใจเป็นสองเท่า คุณสามารถเข้าสู่ระบบแดชบอร์ด ไปที่ การตั้งค่า>>กฎการอัปโหลดไฟล์ และดูว่าปุ่มสลับเปิดอยู่แล้วหรือไม่
หากคุณต้องการบล็อกส่วนขยายเพิ่มเติม คุณสามารถเพิ่มกฎการอัปโหลดไฟล์ที่ขัดขวางความพยายามในการอัปโหลดที่เป็นอันตรายทั้งหมดได้
ขอแนะนำให้ผู้ใช้ Elementor Pro และ Ultimate Add-on รายอื่นสำหรับ Elementor อัปเดตเป็นเวอร์ชันแพตช์ เวอร์ชันแพตช์ดังที่ฉันได้กล่าวไปแล้ว – 2.9.4 สำหรับ Elementor Pro และ 1.24.2 สำหรับส่วนเสริมขั้นสูงสุดสำหรับ Elementor
หากคุณถูกแฮ็ก คุณสามารถล้างมัลแวร์ได้ทันที (ใช้เวลาน้อยกว่า 4 ชั่วโมง) โดย Astra และกู้คืนเว็บไซต์ของคุณให้เป็นปกติ
หลังจากตรวจสอบการอัปเดตแล้ว อย่าลืมปฏิบัติตามคู่มือความปลอดภัยของ WordPress เพื่อเพิ่มความปลอดภัย
