WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Các trang WordPress đang bị tấn công qua lỗ hổng trong Thrive Themes
Những kẻ tấn công đang tích cực khai thác hai lỗ hổng được vá gần đây trong bộ công cụ phổ biến dành cho các trang web WordPress từ nền tảng tiếp thị Thrive Themes.
Bộ công cụ này bao gồm một loạt các Legacy Themes (chủ đề kế thừa - các công cụ giúp thay đổi bố cục và thiết kế của các trang web WordPress) cùng nhiều plugin khác nhau. Các plugin này cung cấp các chức năng trực quan và phát triển trang web, bao gồm Thrive Architect, giúp chủ sở hữu trang tạo các trang đích và Thrive Comments, giúp họ triển khai phần bình luận hấp dẫn.
Hai lỗ hổng được phát hiện trên Legacy Themes và plugin, các bản vá được phát hành ngày 12/3.
Lỗ hổng nghiêm trọng hơn (điểm CVSS 10/10) tồn tại trong Legacy Themes. Các chủ đề này có khả năng tự động nén hình ảnh trong quá trình tải lên, tuy nhiên chức năng này được triển khai không an toàn.
Lỗ hổng ít nghiêm trọng hơn tồn tại trong các plugin của Thrive Themes. Lỗi này bắt nguồn từ việc triển khai không an toàn một tính năng trong Thrive Dashboard, cho phép tích hợp với công cụ tự động hóa trực tuyến Zapier. Để thực hiện tích hợp này, các sản phẩm của Thrive Themes đăng ký một điểm cuối API REST được liên kết với chức năng Zapier.
Các lỗ hổng có thể được xâu chuỗi với nhau để cho phép kẻ tấn công chưa được xác thực tải lên các tệp tùy ý trên các trang web WordPress tồn tại lỗ hổng, cho phép xâm nhập trang web.
Mặc dù bản vá đã được phát hành, hơn 100.000 trang WordPress sử dụng các sản phẩm của Thrive Themes vẫn có thể bị tấn công.
Theo Chloe Chamberland, nhà phân tích mối đe dọa của Wordfence, những lỗ hổng này đang bị khai thác tích cực.
Các nhà nghiên cứu đã có thể “xác minh cách thức xâm nhập này” trên một trang web riêng lẻ. Sau đó, họ tìm thấy tải trọng được bổ sung bởi cuộc tấn công này trên hơn 1.900 trang web.
“Con số đang tiếp tục tăng lên cho thấy những kẻ tấn công đang thành công khai thác các lỗ hổng và xâm nhập các trang web. Hiện tại, không biết ai đứng sau các cuộc tấn công, tuy nhiên hầu hết dữ liệu tấn công chủ yếu đến từ địa chỉ IP là 5.255.176.41”.
Người dùng được khuyến cáo cập nhật lên phiên bản mới nhất ngay lập tức.
Danh sách các phiên bản bị ảnh hưởng của Legacy Themes và plugin gồm:
- Tất cả các Legacy Themes, bao gồm Rise, Ignition và các chủ đề khác | Version <2.0.0
Thrive Optimize | Version < 1.4.13.3
Thrive Comments | Version < 1.4.15.3
Thrive Headline Optimizer | Version < 1.3.7.3
Thrive Themes Builder | Version < 2.2.4
Thrive Leads Version | < 2.3.9.4
Thrive Ultimatum Version | < 2.3.9.4
Thrive Quiz Builder Version | < 2.3.9.4
Thrive Apprentice | Version < 2.3.9.4
Thrive Architect | Version < 2.6.7.4
Thrive Dashboard | Version < 2.3.9.3
Bộ công cụ này bao gồm một loạt các Legacy Themes (chủ đề kế thừa - các công cụ giúp thay đổi bố cục và thiết kế của các trang web WordPress) cùng nhiều plugin khác nhau. Các plugin này cung cấp các chức năng trực quan và phát triển trang web, bao gồm Thrive Architect, giúp chủ sở hữu trang tạo các trang đích và Thrive Comments, giúp họ triển khai phần bình luận hấp dẫn.
Hai lỗ hổng được phát hiện trên Legacy Themes và plugin, các bản vá được phát hành ngày 12/3.
Lỗ hổng nghiêm trọng hơn (điểm CVSS 10/10) tồn tại trong Legacy Themes. Các chủ đề này có khả năng tự động nén hình ảnh trong quá trình tải lên, tuy nhiên chức năng này được triển khai không an toàn.
Lỗ hổng ít nghiêm trọng hơn tồn tại trong các plugin của Thrive Themes. Lỗi này bắt nguồn từ việc triển khai không an toàn một tính năng trong Thrive Dashboard, cho phép tích hợp với công cụ tự động hóa trực tuyến Zapier. Để thực hiện tích hợp này, các sản phẩm của Thrive Themes đăng ký một điểm cuối API REST được liên kết với chức năng Zapier.
Các lỗ hổng có thể được xâu chuỗi với nhau để cho phép kẻ tấn công chưa được xác thực tải lên các tệp tùy ý trên các trang web WordPress tồn tại lỗ hổng, cho phép xâm nhập trang web.
Mặc dù bản vá đã được phát hành, hơn 100.000 trang WordPress sử dụng các sản phẩm của Thrive Themes vẫn có thể bị tấn công.
Theo Chloe Chamberland, nhà phân tích mối đe dọa của Wordfence, những lỗ hổng này đang bị khai thác tích cực.
Các nhà nghiên cứu đã có thể “xác minh cách thức xâm nhập này” trên một trang web riêng lẻ. Sau đó, họ tìm thấy tải trọng được bổ sung bởi cuộc tấn công này trên hơn 1.900 trang web.
“Con số đang tiếp tục tăng lên cho thấy những kẻ tấn công đang thành công khai thác các lỗ hổng và xâm nhập các trang web. Hiện tại, không biết ai đứng sau các cuộc tấn công, tuy nhiên hầu hết dữ liệu tấn công chủ yếu đến từ địa chỉ IP là 5.255.176.41”.
Người dùng được khuyến cáo cập nhật lên phiên bản mới nhất ngay lập tức.
Danh sách các phiên bản bị ảnh hưởng của Legacy Themes và plugin gồm:
- Tất cả các Legacy Themes, bao gồm Rise, Ignition và các chủ đề khác | Version <2.0.0
Thrive Optimize | Version < 1.4.13.3
Thrive Comments | Version < 1.4.15.3
Thrive Headline Optimizer | Version < 1.3.7.3
Thrive Themes Builder | Version < 2.2.4
Thrive Leads Version | < 2.3.9.4
Thrive Ultimatum Version | < 2.3.9.4
Thrive Quiz Builder Version | < 2.3.9.4
Thrive Apprentice | Version < 2.3.9.4
Thrive Architect | Version < 2.6.7.4
Thrive Dashboard | Version < 2.3.9.3
Theo Threatpost