ຄວາມສ່ຽງຮ້າຍແຮງ Zero-day ຢູ່ WP GDPR ຂອງ WordPress
ຄວາມສ່ຽງຮ້າຍແຮງ Zero-day ຢູ່ WP GDPR ສາມາດເຂົ້າຢຶດເວັບໄຊໄດ້
ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພຂອງ WordPress ໄດ້ເປີດເຜີຍຄວາມສ່ຽງ Zero-day ຂອງ WP GDPR Compliance Plugin ແມ່ນຫນຶ່ງ Plugin ທີ່ນິຍົມທີ່ສຸດ ສໍາລັບຜູ້ທີ່ຕ້ອງການຕອບສະຫນອງກັບຂໍ້ກໍານົດຂອງ GDPR, ເຊິງຊ່ອຍໃຫ້ແຮັກເກີສາມາດເຂົ້າເຖິງເວັບໄຊ ທີ່ຕິດຕັ້ງ Script Backdoor ແລະ ຄວບຄຸມລະບົບທັງຫມົດໄດ້ ແນະນໍາໃຫ້ຜູ້ເບິ່ງແຍ່ງລະບົບອັບເດດເວີຊັນໂດຍໄວ
ຄວາມສ່ຽງນີ້ໄດ້ຖືກພົບເຫັນເທື່ອທຳອິດຂອງເດືອນແລ້ວນີ້ ໂດຍໃນເບື້ອງຕົ້ນລາຍງານຂອງເວັບໄຊທີ່ຖືກແຮັກຢູ່ Support Forum ຂອງ Plugin ອື່ນ, ແຕ່ວ່າຕໍ່ມາເຫັນວ່າ Plugin ດັ່ງກວ່າໄດ້ຖືກຕິດຕັ້ງລົງໄປເປັນສະຖານະຂອງ Second-stage Payload ຂອງເວັບໄຊທີ່ຖືກເຈາະລະບົບ ຫຼັງຈາກທີມງານຄວາມປອດໄພຂອງ WordPress ໄດ້ເຂົ້າໄປກວດສອບຢ່າງລະອຽດແລ້ວ ແລະ ໄດ້ເຫັນວ່າຕົ້ນຕໍ່ຂອງການແຮັກແມ່ນມາຈາກ WP GDPR Compliance Plugin, ເຊິງຖືກຕິດຕັ້ງໃນເວັບໄຊດຽວກັນ
ທາງດ້ານນັກຄົ້ນຄວ້າຄວາມປອດໄພຈາກ Defiant ຜູ້ໃຫ້ບໍລິການ Wordfence Firewall Plugin ສໍາລັບ WordPress ລະບຸວ່າ ມາຮອດປັດຈຸບັນນີ້ ຍັງມີການກວດເຫັນການເຈາະລະບົບຄວາມສ່ຽງຂອງ WP GDPR Compliance Plugin ໂດຍຄວາມສ່ຽງດັງກ່າວ ຊ່ອຍໃຫ້ແຮັກເກີສາມາດເອີ້ນໃຊ້ໜື່ງຟັງຊັນຢູ່ໃນປັກອິນ ແລະ ປ່ຽນແປງການຕັ້ງຄ່າຂອງປັກອິນ ແລະ WordPress CMS ທັງໝົດໄດ້, ໂດຍສ່ວນຫຼາຍແຮັກເກີໃຊ້ຄວາມສ່ຽງນີ້ເພື່ອສ້າງບັນຊີທີ່ມີຊື່ວ່າ “T2trollherten” ເຊິ່ງມີສິດເປັນ Admin, ແລ້ວຈາກນັ້ນຕິດຕັ້ງ Backdoor ທີ່ມີຊື່ວ່າ “wp-cache.php” ເຂົ້າໄປ ເຊິງເປັນ Script ທີ່ສາມາດຕິດຕັ້ງ payload ອື່ນໆ ຕາມຄວາມຕ້ອງການຂອງແຮັກເກີ
ຈົນຮອດປັດຈຸບັນນີ້ ເຫັນວ່າແຮັກເກີ ມີແຕ່ຕິດຕັ້ງ Script Backdoor ເຂົ້າໃນເວັບໄຊທີ່ຖືກແຮັກ ແຕ່ຍັງບໍ່ທັນໄດ້ເຮັດຫຍັງທີ່ເປັນອັນຕະລາຍເທື່ອ, Backdoor ດັງກວ່ານີ້ເຊັ່ນ: SEP Spam, Exploit Kits, Malwar ຫຼື ໂຕອື່ນໆ, ແນະນໍາໃຫ້ຜູ້ເບິ່ງແຍ່ງລະບົບ WordPress ທີ່ນໍາໃຊ້ WP GDPR Compliance ໃຫ້ລຶບປັກອິນອອກຈາກລະບົບ ແລະ ຈັດການ Backdoor ຖີ້ມ ຫຼື ການອັບເດດເວີຊັນໃຫ້ເປັນ 1.4.3 ໂດຍໄວ
ທີ່ມາຂອງຂ່າວ: https://www.zdnet.com
Comments are closed