ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ແຈ້ງ​ເຕືອນ​ ພົບ​ການ​ໂຈມ​ຕີຂະໜາດໃຫຍ່​ທີ່ພະຍາຍາມ​ລັກ​ໄຟລ໌ການຕັ້ງຄ່າ (Configuration files)​ ຈາກເວັບ​ໄຊ​ທີ່​ໃຊ້WordPress, ຄວນກວດ​ສອບ​ ແລະ ​ອັບ​ເດດ​ລະບົບດ່ວນ!!! 

News Images: w.jpg

ໃນວັນທີ​ 03 ມິ​ຖຸ​ນາ​ 2020 ທີມງານຂອງ​ Wordfence ຜູ້​ພັດທະນາ​ບໍລິການ​ດ້ານ​ຄວາມປອດ​ໄພ​ໃຫ້​ກັບ​ WordPress ໄດ້​ລາຍ​ງານ​ Campaign ການ​ໂຈມ​ຕີ ​ເພື່ອ​ລັກ​ໄຟ​ລ໌ການຕັ້ງຄ່າ (Configuration files)ຈຸດປະສົງ​ເພື່ອ​ລັກ​ບັນຊີ ​ແລະ ລະ​ຫັດ​ຜ່ານ​ສຳລັບ​ເຂົ້າ​ເຖິງ​ລະບົບ​ຖານ​ຂໍ້​ມູນ​ຂອງ​ເວັບ​ໄຊ​.​

ການ​ໂຈມ​ຕີ​ເລີ່ມ​ພົບເຫັນ​ຕັ້ງ​ແຕ່​ທ້າຍເດືອນ​ ເມ​ສາ 2020 ຊຶ່ງ​ເກີດ​ຂຶ້ນ​ຕໍ່​ເນື່ອງ​ເປັນ​ແຕ່ລະໄລຍະ ແລະ ​ພົບ​ເຫັນການ​ໂຈມ​ຕີ​ເພີ່ມ​ຂຶ້ນ​ຢ່າງ​ຫຼວງຫຼາຍ​ໃນ​ລະຫວ່າງ​ວັນທີ​ 29 ເຖິງ​ 31 ພຶດສະພາ​ 2020, ​ທາງ​ Wordfence ພົບ​ການ​ໂຈມ​ຕີເຖິງ 130 ລ້ານຄັ້ງ.

ຜົນກະທົບ 

ຊ່ອງ​ທາງ​ການ​ໂຈມ​ຕີ​ ແມ່ນຜູ້​ປະສົງ​ຮ້າຍ​ໄດ້​ອາໄສ​ຊ່ອງ​ໂຫວ່​ໃນ​ plugin ຫຼື​ theme ທີ່​ຖືກ​ຕິດ​ຕັ້ງ​ຢູ່ໃນ​ເວັບ​ໄຊ​ ໂດຍ​ສ່ວນ​ໃຫຍ່​ເປັນ​ການໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ປະ​ເພດ​ Cross-site Scripting (XSS) ເພື່ອ​ຝັງ​ Script ​ສຳລັບ​ລັກເກັບ​ session cookie ເມື່ອ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ລັອກ​ອິນ​ເຂົ້າ​ໃຊ້​ງານ​ເວັບ​ໄຊ,​​ ຊຶ່ງ​ຫຼັງ​ຈາກ​ທີ່​ຜູ້​ປະສົງ​ຮ້າຍ​ໄດ້​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ​ກໍ່ຈະ​ສາມາດ​ສວມ​ຮອຍ​ເປັນ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ ​ແລະ​ ດາວ​ໂຫຼດ​ໄຟ​ລ໌ການຕັ້ງຄ່າ​ (wp-config.php) ຊຶ່ງ​ເປັນ​ໄຟ​ລ໌​ທີ່​ມີ​ຂໍ້​ມູນ​ຊື່​ບັນ​ຊີ, ລະ​ຫັດ​ຜ່ານ​ສຳລັບ​ເຂົ້າ​ເຖິງ​ຖານ​ຂໍ້​ມູນ​ຂອງ​ເວັບ​ໄຊ ແລະ ດໍາເນີນການໂຈມ​ຕີ​ໃນ​ຂັ້ນ​ອື່ນ​ຕໍ່ໄປ.​

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

ທາງ​ Wordfence ພົບ​ວ່າກ​ວ່າ​ 75% ​ຂອງ​ການ​ໂຈມ​ຕີ​ນັ້ນ​ມີ​ເປົ້າໝາຍ​ມາ​ທີ່​ຊ່ອງ​ໂຫວ່ຂອງ plugin ແລະ​ theme ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

  • Easy2Map plugin
  • Blog Designer plugin
  • WP GDPR Compliance plugin
  • Total Donations plugin
  • Newspaper theme

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ຈາກ​ລາຍ​ງານ​ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບຂ້າງເທິງ ພົບ​ວ່າ​ມີ​ເວັບ​ໄຊ​​ທີ່​ໃຊ້​ງານ​ plugin ແລະ​ theme ເຫຼົ່າ​ນີ້ເຖິງ 1.3 ລ້ານ​ເວັບ​ໄຊ​,​​ ບາງ​ plugin ແລະ​ theme ຕາມ​ລາຍ​ການ​ດັ່ງ​ກ່າວ​ນັ້ນ ​ໄດ້​ຖືກ​ຖອດ​ອອກຈາກ​ໜ້າ​ດາວ​ໂຫຼດ​ ຫຼື ​ຜູ້​ພັດທະນາ​ໄດ້​ອອກ​ອັບ​ເດດ​ເວີ​​ຊັ່ນ​ໃໝ່​ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ແລ້ວ​ ເພື່ອ​ປ້ອງ​ກັນ​ ແລະ​ ຫຼຸດ​ຜ່ອນຄວາມ​ສ່ຽງ​ ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ອັບ​ເດດ​ລະບົບ​ WordPress ລວມທັງ​ plugin ແລະ​ theme ໃຫ້ເປັນ​ເວີ​​ຊັ່ນ​ຫຼ້າ​ສຸດ​ຢູ່​ສະເໝີ​ ຫຼື​ ອາດຈະ​ພິຈາລະນາ​ຢຸດ​ການໃຊ້​ງານ​ plugin ແລະ​ theme ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​​ຊົ່ວ​ຄາວ​ ຈົນ​ກວ່າ​ຊ່ອງ​ໂຫວ່​ຈະ​ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​.

ຜູ້​ເບິ່ງ​ແຍງ​ເວັບ​ໄຊຄວນ​ກວດ​ສອບ​ web access log ວ່າ​ມີ​ການ​ເຂົ້າ​ເຖິງ​ ຫຼື ​ດາວ​ໂຫຼດ​ໄຟ​ລ໌​ wp-config.php ຫຼື ​ບໍ່​ (HTTP response code ເປັນ​ 200) ຊຶ່ງ​ຫາກ​ພົບ​ພຶດຕິກຳ​ ທີ່​ບໍ່​ໄດ້​ເກີດ​ຈາກ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ອາດ​ເປັນ​ໄປ​ໄດ້​ວ່າ​ເວັບ​ໄຊ​ຖືກ​ໂຈມ​ຕີ​ ຄວນ​ປ່ຽນ​ລະຫັດ​ຜ່ານ​ຖານ​ຂໍ້​ມູນ​ ແລະ ລະ​ຫັດ​ຜ່ານ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ພ້ອມທັງ​ກວດ​ສອບ ​ແລະ​ ປັບ​ປຸງ​ລະບົບ​ຄວາມ​ປອດ​ໄພຂອງ​ເວັບ​ໄຊ​​ໂດຍ​ດ່ວນ.

ເອກະສານອ້າງອີງ:

  1. https://www.wordfence.com/blog/2020/06/large-scale-attack-campaign-targets-database-credentials/
  2.  https://www.wordfence.com/blog/2020/05/nearly-a-million-wp-sites-targeted-in-large-scale-attacks/
  3. https://www.zdnet.com/article/large-scale-attack-tries-to-steal-configuration-files-from-wordpress-sites/