สรุปสั้น

ศูนย์ความมั่นคงไซเบอร์ออสเตรเลีย (Australian Cyber Security Centre หรือ ACSC) ออกประกาศแจ้งเตือนเกี่ยวกับแคมเปญโจมตีระดับโลกที่มุ่งเป้าไปยังระบบจัดการเนื้อหา (Content Management System หรือ CMS) และปลั๊กอินที่มีช่องโหว่ โดยหน่วยงานภาครัฐแห่งนี้ระบุว่าธุรกิจในออสเตรเลียจำนวนมากได้รับผลกระทบจากกิจกรรมอันตรายนี้ไปแล้ว โดยมีการฝัง Webshell ลงบนเว็บไซต์ของเหยื่อ ซึ่ง Webshell คือเครื่องมือที่เปิดทางให้ผู้โจมตีเข้าถึงเว็บไซต์ที่ถูกเจาะได้อย่างต่อเนื่อง และสามารถขัดขวางการให้บริการ ขโมยข้อมูลล็อกอิน ปล่อยมัลแวร์เพิ่มเติม และเคลื่อนตัวลึกเข้าไปในเครือข่ายได้

ACSC เตือนว่าแคมเปญเจาะระบบขนาดใหญ่นี้กำลังโจมตีช่องโหว่หลายรายการใน CMS ทั่วโลกรวมถึงในออสเตรเลีย โดยธุรกิจขนาดเล็กถึงกลางของออสเตรเลียจำนวนมากได้รับผลกระทบ ผู้โจมตีกำลังสแกนเว็บไซต์อย่างต่อเนื่องเพื่อหาโอกาสฝัง Webshell โดยอาศัยช่องโหว่หลากหลายที่กระทบซอฟต์แวร์ CMS และปลั๊กอิน ยิ่งไปกว่านั้น ACSC ยังตั้งข้อสังเกตว่าแคมเปญนี้อาจได้รับการสนับสนุนจาก AI ซึ่งโดยทั่วไปช่วยให้ผู้โจมตีเร่งการโจมตีและขยายการใช้ประโยชน์จากช่องโหว่ใหม่ๆ ได้รวดเร็วขึ้น

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 11 กรกฎาคม พ.ศ. 2569 ว่า ACSC ออกประกาศแจ้งเตือนถึงแคมเปญเจาะระบบทั่วโลกที่พุ่งเป้าไปยัง CMS และปลั๊กอินที่มีช่องโหว่ โดยพบว่าธุรกิจขนาดเล็กถึงกลางในออสเตรเลียจำนวนมากถูกโจมตีและมีการฝัง Webshell บนเว็บไซต์แล้ว

Webshell ที่ผู้โจมตีฝังไว้ทำหน้าที่เป็นประตูหลังที่เปิดทางเข้าถึงเว็บไซต์ที่ถูกเจาะได้อย่างถาวร ทำให้สามารถขัดขวางบริการ ขโมยข้อมูลล็อกอิน ฝังมัลแวร์เพิ่มเติม และขยายการโจมตีลึกเข้าไปในเครือข่ายภายในได้ ตามข้อมูลของหน่วยงาน กิจกรรมนี้ใช้ประโยชน์จากช่องโหว่ในแพลตฟอร์ม CMS และปลั๊กอินหลายตัว ทั้ง WordPress, Craft CMS, MaxSite CMS, MetInfo CMS และ Joomla JCE

ACSC ได้ระบุรายการผลิตภัณฑ์ที่ถูกใช้โจมตีในแคมเปญนี้ ได้แก่ ปลั๊กอิน WordPress หลายตัว เช่น Simple File List (CVE-2025-34085/CVE-2020-36847), WavePlayer (CVE-2025-12057), BerqWP (CVE-2025-7443), WPBookit (CVE-2025-7852), Ninja Forms (CVE-2026-0740), ThemeREX Addons (CVE-2026-1969), Breeze Cache (CVE-2026-3844), pay-uz (CVE-2026-31843), ACF Extended (CVE-2025-13486), WPvivid Backup (CVE-2026-1357), Gravity Forms (CVE-2025-12352) และ GutenKit/Hunk Companion (คาดว่าเป็น CVE-2024-9234) รวมถึง Sneeit Framework (CVE-2025-6389), Craft CMS (CVE-2025-32432), MaxSite CMS (CVE-2026-3395), MetInfo CMS (CVE-2026-29014) และ Joomla JCE (CVE-2026-48907)

วิธีการโจมตี

รูปแบบการโจมตีในแคมเปญนี้เริ่มจากการที่ผู้โจมตีสแกนเว็บไซต์จำนวนมากอย่างต่อเนื่องเพื่อค้นหาระบบที่ใช้ CMS หรือปลั๊กอินเวอร์ชันที่มีช่องโหว่ตามรายการข้างต้น เมื่อพบเป้าหมายที่ยังไม่ได้แพตช์ ก็จะใช้ประโยชน์จากช่องโหว่นั้นเพื่ออัปโหลดและฝัง Webshell ลงบนเซิร์ฟเวอร์เว็บ ซึ่งช่องโหว่หลายตัวในรายการเป็นประเภทที่เปิดให้อัปโหลดไฟล์โดยไม่ผ่านการตรวจสอบสิทธิ์หรือข้ามการยืนยันตัวตน ทำให้ผู้โจมตีวางไฟล์สคริปต์ควบคุมระยะไกลได้โดยง่าย

จุดที่น่ากังวลคือ ACSC ประเมินว่าแคมเปญนี้อาจมีการใช้ AI เข้ามาช่วย ซึ่งทำให้ผู้โจมตีสามารถเร่งความเร็วในการโจมตีและขยายขอบเขตการใช้ประโยชน์จากช่องโหว่ที่เพิ่งถูกเปิดเผยได้อย่างรวดเร็ว รูปแบบการโจมตีจำนวนมากในเวลาอันสั้นนี้สอดคล้องกับแนวโน้มที่ผู้โจมตีอาศัยระบบอัตโนมัติในการสแกนและเจาะช่องโหว่ใหม่ก่อนที่องค์กรจะแพตช์ทัน

ผลกระทบต่อไทย

เว็บไซต์ธุรกิจ หน่วยงานราชการ และองค์กรขนาดเล็กถึงกลางในไทยจำนวนมหาศาลสร้างบนแพลตฟอร์ม WordPress, Joomla และ CMS อื่นๆ ที่ปรากฏในรายการนี้ โดยเฉพาะเว็บไซต์ที่ติดตั้งปลั๊กอินจำนวนมากและไม่ได้อัปเดตสม่ำเสมอ แคมเปญที่สแกนและโจมตีแบบอัตโนมัติทั่วโลกเช่นนี้ไม่ได้เลือกเป้าหมายตามภูมิภาค เว็บไซต์ไทยที่ใช้ปลั๊กอินเวอร์ชันเก่าที่มีช่องโหว่จึงเสี่ยงถูกฝัง Webshell ได้ทันที และเมื่อถูกยึดเว็บไซต์แล้ว อาจถูกใช้เป็นฐานปล่อยมัลแวร์ ขโมยข้อมูลลูกค้า หรือเป็นสะพานเข้าสู่ระบบภายในองค์กร ซึ่งกระทบทั้งความเชื่อมั่นและความรับผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

คำแนะนำ

ผู้ดูแลเว็บไซต์ควรอัปเดต CMS ธีม และปลั๊กอินให้เป็นเวอร์ชันล่าสุดโดยเร็ว โดยเฉพาะปลั๊กอินที่อยู่ในรายการช่องโหว่ของ ACSC ควรถอนหรือลบส่วนประกอบและปลั๊กอินที่ไม่ได้ใช้งานออก และเปิดการอัปเดตอัตโนมัติทุกที่ที่ทำได้ นอกจากนี้ควรตั้งค่าไดเรกทอรีเว็บให้เป็นแบบอ่านอย่างเดียว (Read-only) เท่าที่ทำได้ เฝ้าระวังการสร้างไฟล์ที่ไม่ได้รับอนุญาต จำกัดการเข้าถึงไดเรกทอรีที่อ่อนไหว และบล็อกการสร้างโพรเซสลูก (Child Process) ที่ผิดปกติบนเซิร์ฟเวอร์เว็บ เพื่อสกัดการทำงานของ Webshell ควรตรวจสอบเว็บไซต์เป็นระยะว่ามีไฟล์แปลกปลอมหรือพฤติกรรมผิดปกติหรือไม่ และวาง Web Application Firewall (WAF) เสริมเพื่อกรองการสแกนและโจมตีแบบอัตโนมัติ

แหล่งอ้างอิง