WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
AIOS - Plugin có hàng triệu website sử dụng của WordPress đăng nhập bằng mật khẩu gốc
Plugin WordPress All-In-One Security (AIOS), đang được sử dụng bởi hơn một triệu trang web WordPress, bị phát hiện ghi lại mật khẩu văn bản gốc từ các lần đăng nhập của người dùng vào cơ sở dữ liệu của trang web, gây rủi ro an ninh tài khoản.
AIOS là một giải pháp all-in-one do Updraft phát triển, cung cấp tường lửa ứng dụng web, bảo vệ nội dung và các công cụ bảo mật đăng nhập cho các trang web WordPress, giúp ngăn chặn bot và các cuộc tấn công brute-force.
Khoảng 3 tuần trước, một người dùng báo cáo plugin AIOS v5.1.9 không chỉ ghi lại các lần đăng nhập của người dùng vào bảng cơ sở dữ liệu aiowps_audit_log, được sử dụng để theo dõi các lần đăng nhập, đăng xuất và các sự kiện đăng nhập không thành công mà còn ghi lại mật khẩu đã nhập.
Updraft phản hồi đây là một "lỗi đã biết" và hứa hẹn sẽ phát hành bản sửa lỗi.
Cách đây 2 tuần, nhà phát triển phát hành bản cập nhật tạm thời, tuy nhiên vấn đề vẫn chưa được giải quyết 1 cách triệt để.
Ngày 11/7, nhà cung cấp AIOS đã phát hành phiên bản 5.2.0, bao gồm một bản sửa lỗi để ngăn lưu mật khẩu văn bản gốc và xóa các mục nhập cũ.
Nếu chi tiết đăng nhập của những người bị lộ không được bảo vệ bằng xác thực hai yếu tố trên các nền tảng khác nhau này, quản trị viên giả mạo có thể dễ dàng chiếm đoạt tài khoản của họ.
Ngoài ra, các trang web sử dụng AIOS sẽ phải đối mặt với rủi ro cao do tin tặc xâm phạm, vì kẻ xấu có quyền truy cập vào cơ sở dữ liệu của trang web có thể lấy cắp mật khẩu người dùng ở dạng văn bản gốc.
Số liệu thống kê của WordPress.org cho thấy mới có khoảng một phần tư người dùng AIOS đã áp dụng bản cập nhật cho 5.2.0. Do đó, vẫn còn hơn 750.000 trang web có nguy cơ bị tấn công.
Các trang web sử dụng AIOS cần cập nhật lên phiên bản mới nhất và yêu cầu người dùng đặt lại mật khẩu.
AIOS là một giải pháp all-in-one do Updraft phát triển, cung cấp tường lửa ứng dụng web, bảo vệ nội dung và các công cụ bảo mật đăng nhập cho các trang web WordPress, giúp ngăn chặn bot và các cuộc tấn công brute-force.
Khoảng 3 tuần trước, một người dùng báo cáo plugin AIOS v5.1.9 không chỉ ghi lại các lần đăng nhập của người dùng vào bảng cơ sở dữ liệu aiowps_audit_log, được sử dụng để theo dõi các lần đăng nhập, đăng xuất và các sự kiện đăng nhập không thành công mà còn ghi lại mật khẩu đã nhập.
Updraft phản hồi đây là một "lỗi đã biết" và hứa hẹn sẽ phát hành bản sửa lỗi.
Cách đây 2 tuần, nhà phát triển phát hành bản cập nhật tạm thời, tuy nhiên vấn đề vẫn chưa được giải quyết 1 cách triệt để.
Ngày 11/7, nhà cung cấp AIOS đã phát hành phiên bản 5.2.0, bao gồm một bản sửa lỗi để ngăn lưu mật khẩu văn bản gốc và xóa các mục nhập cũ.
Nếu chi tiết đăng nhập của những người bị lộ không được bảo vệ bằng xác thực hai yếu tố trên các nền tảng khác nhau này, quản trị viên giả mạo có thể dễ dàng chiếm đoạt tài khoản của họ.
Ngoài ra, các trang web sử dụng AIOS sẽ phải đối mặt với rủi ro cao do tin tặc xâm phạm, vì kẻ xấu có quyền truy cập vào cơ sở dữ liệu của trang web có thể lấy cắp mật khẩu người dùng ở dạng văn bản gốc.
Số liệu thống kê của WordPress.org cho thấy mới có khoảng một phần tư người dùng AIOS đã áp dụng bản cập nhật cho 5.2.0. Do đó, vẫn còn hơn 750.000 trang web có nguy cơ bị tấn công.
Các trang web sử dụng AIOS cần cập nhật lên phiên bản mới nhất và yêu cầu người dùng đặt lại mật khẩu.
Nguồn: Bleeping Computer