WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hàng nghìn site WordPress bị hack bằng lỗ hổng mới được tiết lộ
Tuần trước, The Hacker News đã đưa tin về một lỗ hổng zero-day nghiêm trọng trong Wordpress REST API. Lỗ hổng đã được vá âm thầm trước khi hacker kịp khai thác trên hàng triệu trang web WordPress.
Để đảm bảo sự an toàn của hàng triệu trang web và người sử dụng, WordPress trì hoãn việc công bố lỗ hổng trong hơn một tuần qua và đang làm việc với các công ty an ninh và cài đặt các bản vá, đảm bảo rằng vấn đề sẽ được giải quyết trong thời gian ngắn trước khi bị khai thác thành công.
Nhưng trái với nỗ lực bảo vệ khách hàng của hãng, hàng nghìn quản trị viên lại không bận tâm việc cập nhật trang web. Hậu quả là lỗ hổng nghiêm trọng vẫn bị hacker khai thác.
Trong khi WordPress phát hành một tính năng mặc định tự động cập nhật các trang web chưa được vá, một số quản trị viên đang chạy các dịch vụ quan trọng lại vô hiệu hóa tính năng này trong lần thử nghiệm đầu tiên và sau đó áp dụng luôn các bản vá lỗi.
Thậm chí, blog tin tức của một trong những nhà phân phối nổi tiếng là OpenSUSE Linux (news.opensuse.org) cũng bị hack, nhưng cũng được phục hồi ngay sau đó mà không ảnh hưởng bất kỳ phần nào trong cơ sở hạ tầng của openSUSE, theo báo cáo của CIO.
Lỗ hổng này nằm trong Wordpress REST API, có thể tạo ra các lỗi mới, cho phép hacker không có đặc quyền có thể xóa page hoặc sửa đổi tất cả các page trên trang web chưa được vá, sau đó hướng người dùng tới mã độc hại và các cuộc tấn công.
Nhà nghiên cứu an ninh của Sucuri, người đã báo cáo lỗ hổng cho WordPress, cho biết họ bắt đầu phát hiện các cuộc tấn công khai thác lỗ hổng này trong vòng 48 giờ sau khi lỗ hổng được tiết hộ. Các nhà nghiên cứu cũng cho biết có ít nhất 4 chiến dịch tấn công khác nhau nhắm vào những website chưa được vá.
Trong một chiến dịch tấn công, hacker đã thành công trong việc thay thế các nội dung của hơn 66.000 trang web bằng nội dung "đã bị hack". Các chiến dịch còn lại nhắm mục tiêu vào khoảng 1.000 trang.
Bên cạnh việc thay đổi giao diện trang web, các cuộc tấn công như vậy thường được thực hiện chủ yếu cho chiến dịch SEO mũ đen với mục đích phát tán thư rác và tăng vị trí xếp hạng công cụ tìm kiếm, hay còn gọi là search engine poisoning.
Vì vậy, các quản trị viên website chưa cập nhật WordPress lên phiên bản mới nhất là 4.7.2 cần vá ngay lập tức trước khi trở thành mục tiêu tiếp theo của kẻ phát tán thư rác SEO và hacker.
Để đảm bảo sự an toàn của hàng triệu trang web và người sử dụng, WordPress trì hoãn việc công bố lỗ hổng trong hơn một tuần qua và đang làm việc với các công ty an ninh và cài đặt các bản vá, đảm bảo rằng vấn đề sẽ được giải quyết trong thời gian ngắn trước khi bị khai thác thành công.
Nhưng trái với nỗ lực bảo vệ khách hàng của hãng, hàng nghìn quản trị viên lại không bận tâm việc cập nhật trang web. Hậu quả là lỗ hổng nghiêm trọng vẫn bị hacker khai thác.
Trong khi WordPress phát hành một tính năng mặc định tự động cập nhật các trang web chưa được vá, một số quản trị viên đang chạy các dịch vụ quan trọng lại vô hiệu hóa tính năng này trong lần thử nghiệm đầu tiên và sau đó áp dụng luôn các bản vá lỗi.
Thậm chí, blog tin tức của một trong những nhà phân phối nổi tiếng là OpenSUSE Linux (news.opensuse.org) cũng bị hack, nhưng cũng được phục hồi ngay sau đó mà không ảnh hưởng bất kỳ phần nào trong cơ sở hạ tầng của openSUSE, theo báo cáo của CIO.
Lỗ hổng này nằm trong Wordpress REST API, có thể tạo ra các lỗi mới, cho phép hacker không có đặc quyền có thể xóa page hoặc sửa đổi tất cả các page trên trang web chưa được vá, sau đó hướng người dùng tới mã độc hại và các cuộc tấn công.
Nhà nghiên cứu an ninh của Sucuri, người đã báo cáo lỗ hổng cho WordPress, cho biết họ bắt đầu phát hiện các cuộc tấn công khai thác lỗ hổng này trong vòng 48 giờ sau khi lỗ hổng được tiết hộ. Các nhà nghiên cứu cũng cho biết có ít nhất 4 chiến dịch tấn công khác nhau nhắm vào những website chưa được vá.
Trong một chiến dịch tấn công, hacker đã thành công trong việc thay thế các nội dung của hơn 66.000 trang web bằng nội dung "đã bị hack". Các chiến dịch còn lại nhắm mục tiêu vào khoảng 1.000 trang.
Bên cạnh việc thay đổi giao diện trang web, các cuộc tấn công như vậy thường được thực hiện chủ yếu cho chiến dịch SEO mũ đen với mục đích phát tán thư rác và tăng vị trí xếp hạng công cụ tìm kiếm, hay còn gọi là search engine poisoning.
Vì vậy, các quản trị viên website chưa cập nhật WordPress lên phiên bản mới nhất là 4.7.2 cần vá ngay lập tức trước khi trở thành mục tiêu tiếp theo của kẻ phát tán thư rác SEO và hacker.
Nguồn: The Hacker News