-
06/07/2013
-
797
-
1.305 bài viết
Cảnh báo lỗ hổng trong plugin LiteSpeed Cache cũ bị khai thác
Những kẻ tấn công đã bắt đầu tận dụng lỗ hổng trong plugin LiteSpeed Cache cũ cho WordPress để tạo tài khoản quản trị và kiểm soát các trang web.
LiteSpeed Cache (LS Cache) được quảng cáo là một plugin caching được sử dụng trong hơn năm triệu trang web WordPress giúp tăng tốc độ tải trang, cải thiện trải nghiệm của khách truy cập và tăng hạng trong Google Search.
Đội ngũ bảo mật của Automattic, WPScan, đã nhận thấy sự tăng cường hoạt động từ tháng 4 của các nhóm tin tặc tiến hành quét và chiếm quyền kiểm soát các trang web WordPress với các phiên bản plugin cũ hơn 5.7.0.1, có lỗ hổng XSS mức độ nghiệm trọng cao (8.8) với mã CVE-2023-40000.
Từ một địa chỉ IP, 94[.]102[.]51[.]144, có hơn 1,2 triệu yêu cầu quét khi tìm kiếm các trang web có lỗ hổng.
WPScan báo cáo rằng các cuộc tấn công sử dụng mã JavaScript độc hại được tiêm vào các tập tin WordPress quan trọng hoặc cơ sở dữ liệu, tạo ra tài khoản quản trị có tên là 'wpsupp‑user' hoặc 'wp‑configuser'.
Một dấu hiệu khác của việc bị nhiễm là sự hiện diện của chuỗi "eval(atob(Strings.fromCharCode" trong tùy chọn "litespeed.admin_display.messages" trong cơ sở dữ liệu.
Một phần lớn người dùng LiteSpeed Cache đã chuyển sang các phiên bản gần đây hơn không bị ảnh hưởng bởi CVE-2023-40000, nhưng một số lượng đáng kể, lên tới 1.835.000, vẫn sử dụng phiên bản có lỗ hổng.
Các quản trị viên trang web WordPress được khuyến khích cập nhật plugin lên phiên bản mới nhất, loại bỏ hoặc vô hiệu hóa các thành phần không cần thiết và theo dõi việc tạo ra các tài khoản quản trị viên mới.
Việc làm sạch toàn bộ trang web là bắt buộc trong trường hợp đã bị tấn công. Quá trình này bao gồm xóa tất cả các tài khoản tạo bởi những kẻ tấn công, thiết lập lại mật khẩu cho tất cả các tài khoản hiện có và khôi phục cơ sở dữ liệu và mã nguồn trang web từ bản sao lưu sạch.
LiteSpeed Cache (LS Cache) được quảng cáo là một plugin caching được sử dụng trong hơn năm triệu trang web WordPress giúp tăng tốc độ tải trang, cải thiện trải nghiệm của khách truy cập và tăng hạng trong Google Search.
Đội ngũ bảo mật của Automattic, WPScan, đã nhận thấy sự tăng cường hoạt động từ tháng 4 của các nhóm tin tặc tiến hành quét và chiếm quyền kiểm soát các trang web WordPress với các phiên bản plugin cũ hơn 5.7.0.1, có lỗ hổng XSS mức độ nghiệm trọng cao (8.8) với mã CVE-2023-40000.
Từ một địa chỉ IP, 94[.]102[.]51[.]144, có hơn 1,2 triệu yêu cầu quét khi tìm kiếm các trang web có lỗ hổng.
WPScan báo cáo rằng các cuộc tấn công sử dụng mã JavaScript độc hại được tiêm vào các tập tin WordPress quan trọng hoặc cơ sở dữ liệu, tạo ra tài khoản quản trị có tên là 'wpsupp‑user' hoặc 'wp‑configuser'.
Một dấu hiệu khác của việc bị nhiễm là sự hiện diện của chuỗi "eval(atob(Strings.fromCharCode" trong tùy chọn "litespeed.admin_display.messages" trong cơ sở dữ liệu.
Các quản trị viên trang web WordPress được khuyến khích cập nhật plugin lên phiên bản mới nhất, loại bỏ hoặc vô hiệu hóa các thành phần không cần thiết và theo dõi việc tạo ra các tài khoản quản trị viên mới.
Việc làm sạch toàn bộ trang web là bắt buộc trong trường hợp đã bị tấn công. Quá trình này bao gồm xóa tất cả các tài khoản tạo bởi những kẻ tấn công, thiết lập lại mật khẩu cho tất cả các tài khoản hiện có và khôi phục cơ sở dữ liệu và mã nguồn trang web từ bản sao lưu sạch.
Nguồn: Bleepingcomputer