-
09/04/2020
-
127
-
1.601 bài viết
Gần 800.000 website WordPress có thể bị chiếm quyền do lỗ hổng WPvivid
Gần 800.000 website WordPress đang đứng trước nguy cơ bị chiếm quyền điều khiển hoàn toàn sau khi một lỗ hổng nghiêm trọng được phát hiện trong plugin WPvivid Backup & Migration. Điểm yếu này cho phép kẻ tấn công chưa xác thực tải tệp tùy ý lên máy chủ và thực thi mã từ xa, mở ra con đường dẫn tới chiếm quyền kiểm soát toàn bộ website chỉ trong một chuỗi khai thác ngắn.
Lỗ hổng có mã định danh là CVE-2026-1357, với điểm CVSS 9.8. Lỗ hổng ảnh hưởng đến tất cả các phiên bản plugin từ 0.9.123 trở về trước. Hiện tại, nhà phát triển đã phát hành bản vá khẩn cấp trong phiên bản 0.9.124.
Rủi ro nghiêm trọng nhất chỉ xuất hiện khi website kích hoạt tính năng “nhận bản sao lưu từ một trang web khác” của WPvivid Backup & Migration và tạo khóa xác thực trong phần cài đặt. Dù tính năng này mặc định bị vô hiệu hóa và mỗi khóa chỉ tồn tại tối đa 24 giờ, trong khoảng thời gian đó hệ thống sẽ chấp nhận dữ liệu sao lưu được gửi từ bên ngoài.
Chính cơ chế tiếp nhận này tạo ra điểm phơi bày. Kẻ tấn công có thể gửi yêu cầu tới endpoint xử lý sao lưu thông qua tham số wpvivid_action=send_to_site, đưa dữ liệu vào quy trình giải mã của plugin. Sai sót trong quá trình xử lý, kết hợp với việc kiểm soát đường dẫn chưa chặt chẽ, cho phép tệp tùy ý được ghi lên máy chủ và mở đường cho thực thi mã từ xa.
Theo phân tích của Wordfence, lỗ hổng hình thành từ sự kết hợp của hai điểm yếu trong cùng một luồng xử lý. Thứ nhất là lỗi xử lý ngoại lệ trong cơ chế mật mã. Khi quá trình giải mã RSA thất bại, hệ thống không dừng lại mà tiếp tục xử lý với giá trị false. Trong ngữ cảnh triển khai AES hoặc Rijndael, giá trị này bị diễn giải thành một khóa toàn byte null có thể dự đoán được, làm suy yếu cơ chế xác thực dữ liệu. Kẻ tấn công vì vậy có thể xây dựng payload khiến máy chủ chấp nhận như một gói tin hợp lệ.
Thứ hai là cơ chế kiểm soát đường dẫn và tên tệp thiếu ràng buộc. Plugin chấp nhận filename từ payload đã giải mã mà không thực hiện đầy đủ các bước chuẩn hóa và làm sạch dữ liệu. Hệ quả là lỗ hổng Directory Traversal xuất hiện, cho phép tệp được ghi ra ngoài thư mục sao lưu dự kiến, thậm chí đặt trực tiếp vào web root hoặc các thư mục có thể thực thi PHP. Khi tệp độc hại được tải lên thành công, việc thực thi mã từ xa chỉ còn phụ thuộc vào thao tác truy cập URL tương ứng.
Trong bản cập nhật 0.9.124, WPvivid đã triệt để xử lý vấn đề bằng cách buộc dừng quá trình xử lý ngay khi khóa giải mã trống hoặc trả về giá trị false. Đồng thời, hệ thống mới đã thực hiện giới hạn nghiêm ngặt các loại tệp tải lên, chỉ chấp nhận các định dạng sao lưu tiêu chuẩn như .zip, .gz, .tar và .sql.
Nhà phát triển khuyến cáo quản trị viên cần khẩn trương cập nhật plugin lên phiên bản mới nhất để loại bỏ rủi ro bị khai thác. Trong trường hợp hệ thống từng kích hoạt tính năng nhận sao lưu từ xa trước thời điểm vá lỗi, cần tiếp tục:
- Thu hồi và tạo lại toàn bộ khóa xác thực đã được tạo trước đó.
- Kiểm tra log truy cập trong khoảng thời gian khóa còn hiệu lực nhằm phát hiện hoạt động bất thường.
- Rà soát thư mục web root và các thư mục có quyền thực thi để phát hiện tệp PHP lạ hoặc dấu hiệu cài cắm mã độc.
Theo Cyber Security News