-
30/08/2016
-
317
-
446 bài viết
200.000 người dùng bị ảnh hưởng bởi lỗ hổng zero-day trong plugin WordPress
Hacker đã khai thác một lỗ hổng zero-day leo thang đặc quyền (privilege escalation) trong plugin 'Ultimate Member' của WordPress để xâm nhập vào các trang web bằng cách qua mặt các biện pháp bảo mật và đăng ký tài khoản quản trị viên giả mạo. Ultimate Member là một plugin quản lý hồ sơ người dùng và thành viên, hỗ trợ việc đăng ký và xây dựng cộng đồng trên các trang web WordPress. Hiện tại, plugin này có hơn 200.000 lượt cài đặt từ người dùng.
(Ảnh: Cybersecurity Memo)
Lỗ hổng bị khai thác là CVE-2023-3460 và có điểm số CVSS 9,8/10, ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm phiên bản mới nhất (v2.6.6).
Trong khi các nhà phát triển đã cố gắng sửa lỗi trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6, hacker vẫn có thể khai thác lỗ hổng. Các nhà phát triển đã cho biết họ đang tiếp tục làm việc để giải quyết vấn đề còn lại và hy vọng sẽ sớm phát hành bản cập nhật mới.
"Chúng tôi đang cố gắng để khắc phục lỗi liên quan đến lỗ hổng này từ phiên bản 2.6.3" - một trong những nhà phát triển của Ultimate Member chia sẻ.
"Các phiên bản 2.6.4, 2.6.5, 2.6.6 đã khắc phục một phần lỗ hổng này nhưng chúng tôi vẫn đang làm việc cùng với đội ngũ WPScan để đạt được kết quả tốt nhất. Chúng tôi cũng nhận được báo cáo từ họ với tất cả các chi tiết cần thiết".
"Tất cả các phiên bản trước đó đều có lỗ hổng nên chúng tôi khuyến nghị người dùng nâng cấp trang web lên phiên bản 2.6.6 và tiếp tục cập nhật các bản vá trong tương lai để đảm bản an toàn và có được các tính năng mới nhất".
Các cuộc tấn công khai thác zero-day này được phát hiện bởi những chuyên gia tại Wordfence. Họ cảnh báo rằng hacker khai thác lỗ hổng bằng cách sử dụng các biểu mẫu đăng ký của plugin để thiết lập giá trị meta người dùng tùy ý trên tài khoản của họ.
Cụ thể hơn, kẻ tấn công đặt giá trị meta người dùng "wp_capabilities" để xác định vai trò người dùng của họ là quản trị viên và cho phép họ truy cập hoàn toàn vào trang web có lỗ hổng.
Plugin có danh sách để chặn các key mà người dùng không nên nâng cấp; tuy nhiên, Wordfence cho biết việc qua mặt biện pháp bảo vệ này khá dễ dàng.
Các trang web WordPress bị tấn công bằng cách sử dụng CVE-2023-3460 trong các cuộc tấn công sẽ có các thông tin sau:
(Ảnh: Cybersecurity Memo)
Lỗ hổng bị khai thác là CVE-2023-3460 và có điểm số CVSS 9,8/10, ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm phiên bản mới nhất (v2.6.6).
Trong khi các nhà phát triển đã cố gắng sửa lỗi trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6, hacker vẫn có thể khai thác lỗ hổng. Các nhà phát triển đã cho biết họ đang tiếp tục làm việc để giải quyết vấn đề còn lại và hy vọng sẽ sớm phát hành bản cập nhật mới.
"Chúng tôi đang cố gắng để khắc phục lỗi liên quan đến lỗ hổng này từ phiên bản 2.6.3" - một trong những nhà phát triển của Ultimate Member chia sẻ.
"Các phiên bản 2.6.4, 2.6.5, 2.6.6 đã khắc phục một phần lỗ hổng này nhưng chúng tôi vẫn đang làm việc cùng với đội ngũ WPScan để đạt được kết quả tốt nhất. Chúng tôi cũng nhận được báo cáo từ họ với tất cả các chi tiết cần thiết".
"Tất cả các phiên bản trước đó đều có lỗ hổng nên chúng tôi khuyến nghị người dùng nâng cấp trang web lên phiên bản 2.6.6 và tiếp tục cập nhật các bản vá trong tương lai để đảm bản an toàn và có được các tính năng mới nhất".
Các cuộc tấn công khai thác zero-day này được phát hiện bởi những chuyên gia tại Wordfence. Họ cảnh báo rằng hacker khai thác lỗ hổng bằng cách sử dụng các biểu mẫu đăng ký của plugin để thiết lập giá trị meta người dùng tùy ý trên tài khoản của họ.
Cụ thể hơn, kẻ tấn công đặt giá trị meta người dùng "wp_capabilities" để xác định vai trò người dùng của họ là quản trị viên và cho phép họ truy cập hoàn toàn vào trang web có lỗ hổng.
Plugin có danh sách để chặn các key mà người dùng không nên nâng cấp; tuy nhiên, Wordfence cho biết việc qua mặt biện pháp bảo vệ này khá dễ dàng.
Các trang web WordPress bị tấn công bằng cách sử dụng CVE-2023-3460 trong các cuộc tấn công sẽ có các thông tin sau:
- Xuất hiện tài khoản quản trị viên mới trên trang web.
- Sử dụng các tên người dùng như wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal.
- Bản ghi nhật ký (logs) cho thấy các địa chỉ IP đã biết đến là độc hại truy cập vào trang đăng ký Ultimate Member.
- Bản ghi nhật ký (logs) cho thấy truy cập từ các địa chỉ IP 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 và 172.70.147.176.
- Xuất hiện tài khoản người dùng với địa chỉ email liên kết với "exelica.com".
- Cài đặt các plugin và giao diện WordPress mới trên trang web.
- WordFence giải thích rằng ngay cả luật của firewall mà hãng đặc biệt phát triển để bảo vệ khách hàng khỏi mối đe dọa này cũng không bao gồm tất cả các kịch bản khai thác tiềm năng, do đó việc gỡ bỏ plugin cho đến khi nhà cung cấp giải quyết vấn đề là hành động sáng suốt nhất.
- Nếu phát hiện trang web đã bị xâm nhập, dựa trên các IoCs được chia sẻ ở trên, việc gỡ bỏ plugin sẽ không đủ để khắc phục rủi ro.
- Trong những trường hợp đã bị xêm nhập, chủ sở hữu trang web phải chạy quét malware toàn diện để loại bỏ hoàn toàn hacker, xóa các tài khoản quản trị giả mạo.
Theo: Bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: