แฮกเกอร์ใช้บัคใน plug-in ของ WordPress เกี่ยวกับ gift card ที่มีการติดตั้งกว่า 50,000 ครั้ง
แฮกเกอร์กำลังใช้ช่องโหว่ระดับความรุนแรงสูงมากใน YITH WooCommerce Gift Cards Premium ซึ่งเป็น Plug-in ของ WordPress ที่สามารถทำให้เจ้าของเว็บไซต์สามารถขาย Gift Card ที่เกี่ยวกับร้านค้าของตัวเองได้ ช่องโหว่ถูกติดตามในเลข CVE-2022-45359 (CVSS v3:9.8) เป็นช่องโหว่ที่ทำให้อัพโหลดไฟล์ไปยังเว็บได้โดยไม่ต้องยืนยันตัวตน ซึ่งรวมถึง web shell ด้วย จึงทำให้เข้าถึงเว็บไซต์ได้อย่างเต็มรูปแบบ ช่องโหว่ดังกล่าวถูกเปิดเผยต่อสาธารณะเมื่อวันที่ 22 พฤศจิกายน 2022 ส่งผลกระทบต่อ Plug-in ในทุกเวอร์ชั่นตั้งแต่เวอร์ชั่น 2.19.0 ลงไป ซึ่งทางผู้พัฒนาได้ออกเวอร์ชั่นแก้ไขมาแล้วในเวอร์ชั่น 3.20.0 จึงแนะนำให้รีบทำการอัพเดทตัว Plug-in อย่างเร็วที่สุด
ทาง Wordfence ได้ทำการ reverse-engineered ช่องโหว่ที่ทางแฮกเกอร์ได้ใช้ในการโจมตี จึงพบว่าปัญหาเกิดจากตัวฟังก์ชั่น import_actions_from_setting_panel ที่ทำงานอยู่บน admin_init และตัวฟังก์ชั่นไม่ได้มีการทำเช็ค CSRF ในเวอร์ชั่นที่มีช่องโหว่ ซึ่งปัญหาทั้งสองอย่างนี้ส่งผลให้เกิดการทำ unauthenticated attack ได้โดยการส่ง POST request ไปยัง “/wp-admin/admin-post.php” โดยการใช้ parameter ที่เหมาะสมเพื่ออัพโหลด PHP ที่เป็นอันตรายบนเว็บไซต์ request ที่เป็นอันตรายจะปารกฎบน log ว่าเป็น POST request ที่คาดไม่ถึงจาก IP ที่ไม่รู้จัก ไฟล์อัพโหลดที่ถูกพบโดย Wordfence มีดังนี้
- Kon.php/1tes.php เป็นไฟล์ก๊อปปี้ของ marijuana shell เอาไว้สำหรับจัดการไฟล์ในหน่วยความจำจากระยะไกล (เว็บไซต์ shell[.]prinsh[.]com)
- b.php ใช้สำหรับอัพโหลดไฟล์
- admin.php เป็นตัว password-protected backdoor
จากการวิเคราะห์พบว่าช่วงที่มีการโจมตีด้วยช่องโหว่มากที่สุดคือเดือนพฤศจิกายน ก่อนที่แอดมินจะทำการแพทช์ช่องโหว่ได้ ส่วนในระลอกที่สองเกิดขึ้นในวันที่ 14 ธันวาคม 2022 มี IP 103.138.108.15 ที่เป็น IP ต้นทางในการโจมตีอย่างมีนัยยะสำคัญ โดยการพยายามโจมตีผ่านช่องโหว่กว่า 10,936 เว็บไซต์ และ IP 188.66.0.135 ที่เป็นเบอร์สองในการโจมตีไปยังเว็บไซต์ทั้งหมด 928 เว็บไซต์