Tin tặc cố gắng khai thác lỗ hổng plugin WordPress nghiêm trọng nhất có thể

"Đã vá plugin WP Tự động, nhưng ghi chú phát hành không đề cập đến bản sửa lỗi quan trọng.

Tin tặc cố gắng khai thác lỗ hổng plugin WordPress nghiêm trọng nhất có thể

Các nhà nghiên cứu cho biết tin tặc đang tấn công các trang web sử dụng plugin WordPress nổi bật với hàng triệu nỗ lực khai thác lỗ hổng có mức độ nghiêm trọng cao cho phép chiếm quyền kiểm soát hoàn toàn.

Lỗ hổng nằm trong WordPress Automation, một plugin có hơn 38.000 khách hàng trả tiền. Các trang web chạy hệ thống quản lý nội dung WordPress sử dụng nó để kết hợp nội dung từ các trang web khác. Các nhà nghiên cứu từ công ty bảo mật Patchstack đã tiết lộ vào tháng trước rằng WP Automation phiên bản 3.92.0 trở xuống có một lỗ hổng với mức đánh giá mức độ nghiêm trọng là 9,9 trên 10. Nhà phát triển plugin ValvePress đã âm thầm xuất bản một bản vá, hiện có sẵn trong phiên bản 3.92. 1 và hơn thế nữa.

Các nhà nghiên cứu đã phân loại lỗ hổng, được theo dõi là CVE-2024-27956, là một lỗ hổng SQL, một loại lỗ hổng bắt nguồn từ lỗi của ứng dụng web trong việc truy vấn cơ sở dữ liệu phụ trợ đúng cách. Cú pháp SQL sử dụng dấu nháy đơn để biểu thị phần đầu và phần cuối của chuỗi dữ liệu. Bằng cách nhập các chuỗi có dấu nháy đơn được định vị đặc biệt vào các trường trang web dễ bị tấn công, kẻ tấn công có thể thực thi mã để thực hiện nhiều hành động nhạy cảm khác nhau, bao gồm trả lại dữ liệu bí mật, cấp đặc quyền hệ thống quản trị hoặc phá hoại cách hoạt động của ứng dụng web.

Các nhà nghiên cứu của Patchstack viết vào ngày 13 tháng 3: Lỗ hổng này rất nguy hiểm và dự kiến ​​sẽ bị khai thác hàng loạt.

Công ty bảo mật web WPScan cho biết hôm thứ Năm rằng họ đã ghi lại hơn 5,5 triệu nỗ lực khai thác lỗ hổng kể từ khi Patchstack tiết lộ ngày 13 tháng 3. WPScan cho biết các nỗ lực này bắt đầu chậm rãi và đạt đỉnh điểm vào ngày 31 tháng 3. Công ty không cho biết có bao nhiêu nỗ lực trong số đó đã thành công.

WPScan cho biết CVE-2024-27596 cho phép khách truy cập trang web không được xác thực tạo tài khoản người dùng cấp quản trị viên, tải lên các tệp độc hại và kiểm soát hoàn toàn các trang web bị ảnh hưởng. Lỗ hổng nằm trong cách plugin xử lý xác thực người dùng, cho phép kẻ tấn công bỏ qua quy trình xác thực thông thường và tiêm mã SQL cấp cho chúng các đặc quyền hệ thống nâng cao. Từ đó, họ có thể tải lên và thực thi các tải trọng độc hại đổi tên các tệp nhạy cảm để ngăn chủ sở hữu trang web hoặc các tin tặc khác kiểm soát trang web bị tấn công.

Các cuộc tấn công thành công thường tuân theo quy trình này:

SQL Insert (SQLi): Kẻ tấn công lợi dụng lỗ hổng SQLi trong plugin WP‑Automatic để thực hiện các truy vấn cơ sở dữ liệu trái phép.

Tạo người dùng quản trị viên: Với khả năng thực thi các truy vấn SQL tùy ý, kẻ tấn công có thể tạo tài khoản người dùng cấp quản trị viên mới trong WordPress.

Tải lên phần mềm độc hại: Sau khi tạo tài khoản cấp quản trị viên, kẻ tấn công có thể tải các tệp độc hại lên, thường là web shell hoặc backdoor, lên máy chủ của trang web bị xâm nhập.

Đổi tên tệp: Kẻ tấn công có thể đổi tên tệp WP-Automatic dễ bị tổn thương để đảm bảo chỉ hắn mới có thể khai thác nó.

Các nhà nghiên cứu của WPScan giải thích:

Khi một trang web WordPress bị xâm phạm, những kẻ tấn công sẽ đảm bảo khả năng truy cập của chúng được lâu dài bằng cách tạo các cửa sau và làm xáo trộn mã. Để tránh bị phát hiện và duy trì quyền truy cập, những kẻ tấn công cũng có thể đổi tên tệp WP-Automatic dễ bị tấn công, khiến chủ sở hữu trang web hoặc các công cụ bảo mật khó xác định hoặc chặn sự cố. Điều đáng nói là đây cũng có thể là một cách mà những kẻ tấn công tìm cách tránh những kẻ xấu khác để khai thác thành công các trang web vốn đã bị xâm nhập của chúng. Ngoài ra, vì kẻ tấn công có thể sử dụng các đặc quyền cao có được của chúng để cài đặt plugin và chủ đề cho trang web, chúng tôi nhận thấy rằng, ở hầu hết các trang web bị xâm nhập, kẻ xấu đã cài đặt các plugin cho phép chúng tải tệp lên hoặc chỉnh sửa mã.

Các cuộc tấn công bắt đầu ngay sau ngày 13 tháng 3, 15 ngày sau khi ValvePress phát hành phiên bản 3.92.1 mà không đề cập đến bản vá quan trọng trong ghi chú phát hành. Đại diện của ValvePress đã không trả lời ngay lập tức tin nhắn yêu cầu giải thích.

Trong khi các nhà nghiên cứu tại Patchstack và WPScan đang phân loại CVE-2024-27956 là nội dung SQL, một nhà phát triển có kinh nghiệm cho biết ông hiểu lỗ hổng này là do ủy quyền không đúng (CWE-285) hoặc một danh mục con của kiểm soát truy cập không đúng (CWE-284).

Theo Patchstack.com, chương trình này có nhiệm vụ nhận và thực hiện một truy vấn SQL, nhưng chỉ từ một người dùng được ủy quyền, nhà phát triển không muốn sử dụng tên của mình đã viết trong một cuộc phỏng vấn trực tuyến. Lỗ hổng nằm ở cách nó kiểm tra thông tin xác thực của người dùng trước khi thực hiện truy vấn, cho phép kẻ tấn công bỏ qua việc ủy ​​quyền. SQL SQL là khi kẻ tấn công nhúng mã SQL vào thứ được cho là chỉ có dữ liệu và trường hợp đó không xảy ra ở đây.

Dù phân loại là gì thì lỗ hổng này vẫn nghiêm trọng nhất có thể. Người dùng nên vá plugin ngay lập tức. Họ cũng nên phân tích cẩn thận máy chủ của mình để tìm các dấu hiệu khai thác bằng cách sử dụng các chỉ báo về dữ liệu bị xâm phạm được cung cấp trong bài đăng WPScan được liên kết ở trên."

TÁC GIẢ

Về ABN Asia: AiUTOMATING PEOPLE, ABN Asia được thành lập từ năm 2012, là một công ty xuất phát từ học thuật, do những giảng viên, cựu du học sinh Hungary, Hà Lan, Nga, Đức, và Nhật Bản sáng lập. Chúng tôi chia sẻ đam mê chung và tầm nhìn vững chắc về công nghệ, mang đến sự đổi mới và chất lượng đỉnh cao cho khách hàng. Phương châm của chúng tôi là: Tốt hơn. Nhanh hơn. An toàn hơn. Trong nhiều trường hợp: Rẻ hơn.

Hãy liên hệ với chúng tôi khi Quý doanh nghiệp có các nhu cầu về dịch vụ công nghệ thông tin, tư vấn chuyển đổi số, tìm kiếm các giải pháp phần mềm phù hợp, hoặc nếu Quý doanh nghiệp có đấu thầu CNTT (RFP) để chúng tôi tham dự. Quý doanh nghiệp có thể liên hệ với chúng tôi qua địa chỉ email [email protected]. Chúng tôi sẵn lòng hỗ trợ với mọi nhu cầu công nghệ của Quý doanh nghiệp.

© ABN ASIA