พบช่องโหว่บนปลั๊กอิน Modular DS ของ Wordpress

พบช่องโหว่บนปลั๊กอิน Modular DS ของ Wordpress

เอื้อให้แฮกเกอร์ยึดเว็บไซต์ได้

Wordpress อาจจะเป็นเครื่องมือสำหรับการสร้างเว็บไซต์ที่ได้รับความนิยม จากการที่มีเครื่องมือสนับสนุนการใช้งานเป็นจำนวนมาก แต่ในเวลาเดียวกัน ระบบนี้ก็มีจุดอ่อนด้านความปลอดภัยที่มากมายเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่บนปลั๊กอิน (Plug-In) ของ Wordpress ที่มีชื่อว่า Modular DS ซึ่งเป็นปลั๊กอินสำหรับช่วยจัดการสิ่งต่าง ๆ บน Wordpress ให้สามารถทำได้ง่ายขึ้น โดยปลั๊กอินตัวนี้มีผู้ดาวน์โหลดใช้งานมากกว่า 4 หมื่นรายแล้ว ณ เวลาปัจจุบัน จึงถือได้ว่าเป็นปลั๊กอินที่ได้รับความนิยมพอสมควร สำหรับช่องโหว่ที่ถูกตรวจพบดังกล่าวนั้นถูกตั้งรหัสว่า CVE-2026-23550 ที่มีความร้ายแรงระดับสูงสุดเนื่องจากได้รับคะแนน CVSS ซึ่งเป็นคะแนนวัดความร้ายแรงของช่องโหว่ความปลอดภัยที่มากถึง 10.0 โดยช่องโหว่นี้จะเปิดช่องให้ผู้รุกรานสามารถอัปเกรดสิทธิ์ในการเข้าถึงระบบได้โดยไม่ต้องได้รับอนุญาตจากผู้ดูแลตัวจริงก่อน ช่องโหว่นี้ครอบคลุมผู้ใช้งานปลั๊กอินดังกล่าวในทุกเวอร์ชัน รวมทั้งเวอร์ชัน 2.5.1 ด้วย

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นส่วนของกลไกการกำหนดเส้นทาง หรือ Routing Mechanics ที่ตามปกติจะมีการกำหนดเส้นทางที่มีความเปราะบางให้อยู่ในกรอบที่ต้องมีการยืนยันตัวตน (Authentication) ทุกครั้ง ภายใต้คำนำ (Prefix) "/api/modular-connector/" แต่ปัญหาที่เกิดขึ้นคือ ชั้นการรักษาความปลอดภัยชั้นนี้สามารถถูกหลบเลี่ยง (Bypass) ได้เมื่อโหมดของการรับส่งคำขอโดยตรง หรือ "Direct Request" ถูกเปิดใช้งานจากการตั้งค่าพารามิเตอร์ “Origin” ให้มีค่าว่า “Mo” และ พารามิเตอร์ “Type” เป็นค่าอะไรก็ได้ เช่น "origin=mo&type=xxx" ซึ่งการตั้งค่าพารามิเตอร์เช่นนี้นั้น จะทำให้กลไกกำหนดเส้นทางนั้นเข้าใจว่าคำขอดังกล่าวมาจากตัวปลั๊กอิน Modular DS โดยตรง

ซึ่งในส่วนนี้ จะทำให้แฮกเกอร์ที่เข้าถึงเว็บไซต์ที่มีการใช้งาน Modular DS สามารถเข้าถึงเส้นทางที่มีข้อมูลอ่อนไหว เช่น /login/, /server-information/, /manager/, และ /backup/ ได้ อันจะส่งผลให้แฮกเกอร์สามารถใช้ในการขโมยข้อมูล หรือ ใช้ข้อมูลต่าง ๆ ที่ขโมยมาเพื่อเข้าควบคุมเว็บไซต์ได้อย่างง่ายดาย ซึ่งการใช้งานช่องโหว่นี้เคยมีการถูกตรวจพบมาแล้วในช่วงวันที่ 13 มกราคม ที่ผ่านมา โดยเว็บไซต์ที่ตกเป็นเหยื่อนั้นได้รับรีเควส HTTP GET มาจากหมายเลขไอพี 45.11.89[.]19 และ 185.196.0[.]11 เข้าสู่ปลายทาง (Endpoints) "/api/modular-connector/login/" ตามมาด้วยความพยายามในการสร้างบัญชีผู้ดูแล (Admin หรือ Administrator) แสดงให้เห็นถึงอันตรายของช่องโหว่ความปลอดภัยนี้ได้อย่างชัดเจน

ทางแหล่งข่าวจึงได้ทำการเตือนให้ผู้ที่ใช้งานปลั๊กอินดังกล่าว ทำการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดในทันที พร้อมทั้งทำการตรวจสอบว่ามีบัญชีผู้ใช้งาน หรือผู้ดูแลแปลกปลอมอยู่บนระบบหรือไม่ ? ถ้ามีการตรวจพบให้ทำตามขั้นตอนเหล่านี้

ให้สร้าง WordPress Salts ซึ่งจะช่วยในการยกเลิกการใช้งาน Session ต่าง ๆ โดยอัตโนมัติในทันที

สร้างรหัส OAuth ใหม่

สแกนเว็บไซต์เพื่อหาไฟล์, ปลั๊กอิน, หรือ โคดที่ผิดปกติ