Patched ပြုလုပ်ထားခြင်းမရှိသော WordPress အားနည်းချက်များမှတစ်ဆင့် Attacker များမှ သင့်ရဲ့ Website ကို အပြည့်အဝထိန်းချုပ်သွားစေနိုင်ခြင်း

""

လွန်ခဲ့သောရက်သတ္တပတ်ထဲတွင် Patched ပြုလုပ်ထားခြင်းမရှိသေးသော WordPress core file ၏အားနည်းချက်များနှင့် ပတ်သက်သည့်အချက်အလက်ကို လက်ခံသိရှိခဲ့ရပါသည်။ ၎င်းသည် low-privileged အဆင့်ရှိ user များမှတစ်ဆင့် Website တစ်ခုလုံးကို ထိန်းချုပ်သွားစေနိုင်ပြီး server တွင် စိတ်ကြိုက်မည်သည့် code ကိုမဆို execute ပြုလုပ်စေပါသည်။

ဂျာမနီရှိ RIPS Technologies မှ သုတေသီများသည် “authenticated arbitrary file deletion” ဟုခေါ်သော အားနည်းချက်ကို တွေ့ရှိပြီးနောက် လွန်ခဲ့သော ၇လအကြာက WordPress security team သို့ အကြောင်းကြားခဲ့သော်လည်း patched လုပ်ရန်ကျန်ရှိနေဆဲဖြစ်ပြီး လက်ရှိ WordPress version 4.9.6 အပါအဝင် version အားလုံးအပေါ်၌ အကျိုးသက်ရောက်မှုရှိနေဆဲပင် ဖြစ်သည်။

၎င်းအားနည်းချက်သည် WordPress core function များအနက်မှ တစ်ခုတွင် နေရာယူပြီး user မှ upload ပြုလုပ်လိုက်သော image thumbnail များကို delete လုပ်လိုက်သောအခါတွင် နောက်ကွယ်၌ run ခြင်းပင်ဖြစ်သည်။

Thumbnail ကိုdelete ပြုလုပ်သည့် function သည် စိစစ်ထားခြင်းမရှိသည့် user input များကိုလည်း accept ပြုလုပ်ကြောင်း သုတေသီများမှ တွေ့ရှိခဲ့ကြသည်။ ထိုသို့ accept ပြုလုပ်နိုင်ပြီးနောက် အနိမ့်ဆုံး author အဆင့်ရှိ limited-privileges user များမှ server (သို့) site admin များကိုသာ ခွင့်ပြုပေးထားသည့် web hosting မှ မည်သည့် file များကို မဆို delete ပြုလုပ်ရန် ခွင့်ပြုပေးစေပါသည်။

တိုက်ခိုက်ရန်အတွက် အနည်းဆုံး author account တစ်ခုကိုသာ လိုအပ်ခြင်းသည် ၎င်းအားနည်းချက်၏ ပြင်းထန်မှုကို ပိုမိုမြင့်တက်စေသည်။ ထို့နောက် ပုံမှန်မဟုတ်သည့် content contributor (သို့) hacker မှ phishing password reuse နှင့် အခြား attack များမှတစ်ဆင့် author credential ကို တစ်နည်းနည်းနှင့် ရယူထားခြင်းဖြစ်ပြီး exploit ပြုလုပ်နိုင်ပါသည်။ ၎င်းအားနည်းချက်ကို အသုံးချခြင်းအားဖြင့်attacker သည် server ရှိ“.htaccess”ကဲ့သို့သော security နှင့်ပတ်သက်သော  configuration များပါဝင်သည့် အရေးကြီး file များကို အကာအကွယ်ကင်းမဲ့သွားစေရန် ရည်ရွယ်ချက်ဖြင့် delete ပြုလုပ်နိုင်သည်ဟု သုတေသီများမှ ပြောဆိုထားကြပါသည်။

WordPress installation တွင် အရေးကြီးသော configuration file များတွင် တစ်ခုအပါအဝင်ဖြစ်သော၊ database connection နှင့် သက်ဆိုင်သော အချက်အလက်များပါဝင်သည့် “wp-config.php” file ကို delete လုပ်ခြင်းအပြင် website တစ်ခုလုံးကို installation screen ဆီသို့ ပြန်လည်ရောက်ရှိသွားစေပါသည်။ ထို့နောက် attacker များသည် browser မှတစ်ဆင့် website ကို configuration ပြန်လည်ပြုလုပ်နိုင်ပြီး ၎င်း၏ထိန်းချုပ်မှုအောက်သို့ လုံးဝကျရောက်သွားစေပါသည်။

သို့သော်လည်း attacker သည်“database name”, “mysql name”နှင့် ၏၎င်းတို့၏ passwordများကဲ့သို့သော “wp-config.php” file content များကို ဖတ်ရှုခြင်းမပြုလုပ်နိုင်ပေ။ ထို့ကြောင့်  attacker သည် ၎င်း၏ ထိန်းချုပ်မှုအောက်ရှိ  remote database server ကို အသုံးပြုကာ ပစ်မှတ်ထားသော site ကို  re-setup ပြုလုပ်လာနိုင်သည်။ ထိုသို့ re-setup ပြုလုပ်ပြီးနောက် attacker သည် admin account အသစ်တစ်ခုကို ဖန်တီးပြီး  server ပေါ်တွင် ကြိုက်ရာ code ကို  execute ပြုလုပ်စေခြင်း အပါအဝင်  website တစ်ခုလုံးကို အပြည့်အဝ ထိန်းချုပ်သွားစေနိုင်သည်။ backup ပြုလုပ်ထားခြင်းမရှိလျင် ကြီးမားသော အကျိုးဆက်ကို ဖြစ်ပွားစေနိုင်သည့်  WordPress installation တစ်ခုလုံးကို ဖျက်ပစ်နိုင်ခြင်း အပါအဝင် attacker သည် တစ်ချို့သော  security အကာအကွယ်များကို ဟန့်တားနိုင်စေရန် ရည်ရွယ်ချက်ဖြင့်  file များကို ဖျက်ခြင်းနှင့်  web server တွင် ကြိုက်ရာ code ကို  execute လုပ်ခြင်းတို့ကို ပြုလုပ်နိုင်သည်ဟု သုတေသီများက ပြောကြားပါသည်။ ၎င်းအားနည်းချက်သည်  အထက်တွင် ဖော်ပြခဲ့သည့်အတိုင်း ပြည့်ပြည့်စုံစုံ အလုပ်လုပ်ပြီး  website ကို  re-installation screen ဆီသို့ ရောက်ရှိသွားစေသည်။

သို့သော်ငြားလည်း website adminများသည် ၎င်းအားနည်းချက် ကို ကြောက်ရွံနေခြင်း မရှိသင့်ပဲ သုတေသီများမှ အကြံပြုထားသည့်  hotfix ကို  manually လုပ်ဆောင်သင့်သည်။

 WordPress security အသင်းသည် ၎င်းတို့၏ နောက်လာမည့်  CMS software version တွင် ၎င်းအားနည်းချက်ကို မပြင်ဆင်သေးသည့် အချိန်အထိ Web Admin များအနေဖြင့် မိမိတို့၏website လုံခြုံရေးကို အထူးဂရုစိုက်ကြရန် သတိပေးနှိုးဆော်အပ်ပါသည်။

Ref : https://thehackernews.com/2018/06/wordpress-hacking.html