WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hacker đang tăng cường khai thác lỗi zero-day trên một số plugin WordPress
Hiện nay, WordPress là công cụ quản lý nội dung web được sử dụng rộng rãi nhất trên internet. Theo thống kê gần đây, hơn 35% trang web chạy trên các phiên bản của WordPress CMS (hệ thống quản lý nội dung).
Trong vài tháng đầu năm nay, những vụ hack nhắm tới WordPress đã ở mức thấp hơn, so với năm ngoái.
Tuy nhiên, trong hai tuần qua chứng kiến sự “hồi sinh” các cuộc tấn công vào các trang web WordPress, báo hiệu chấm dứt giai đoạn yên tĩnh vừa qua.
Một số công ty an ninh mạng chuyên về các sản phẩm bảo mật cho WordPress - như Wordfence, WebARX và NinTechNet - đã báo cáo về số vụ tấn công ngày càng tăng trên các trang web WordPress.
Tất cả các cuộc tấn công mới được phát hiện vào tháng trước nhắm tới việc khai thác các lỗi trong plugin WordPress, thay vì khai thác chính WordPress.
Nhiều cuộc tấn công nhắm mục tiêu các lỗi plugin mới được vá gần đây, hacker hy vọng chiếm quyền điều khiển các trang web trước khi các quản trị viên trang web đó cập nhật các bản vá bảo mật.
Tuy nhiên, một số cuộc tấn công cũng phức tạp hơn. Hacker đã phát hiện và bắt đầu khai thác các lỗi zero-day.
Dưới đây là tóm tắt về tất cả các chiến dịch hack WordPress đã xảy ra vào tháng 2 và nhắm vào các lỗ hổng plugin WordPress mới.
Quản trị viên trang web nên cập nhật tất cả các plugin WordPress được liệt kê bên dưới vì chúng rất có thể sẽ bị khai thác trong suốt năm nay.
DUPLICATOR
Theo báo cáo của Wordfence, kể từ khoảng giữa tháng 2, tin tặc đã khai thác một lỗi trong Duplicator, một plugin cho phép quản trị viên trang web xuất nội dung trang web. Lỗi này đã được sửa trong phiên bản 1.3.28, lỗ hổng cho phép kẻ tấn công xuất bản sao của trang web, từ đó chúng có thể trích xuất thông tin cơ sở dữ liệu và sau đó chiếm quyền điều khiển máy chủ MySQL.
Đáng lo hơn khi Duplicator là một trong những plugin phổ biến nhất trên cổng thông tin WordPress, với hơn một triệu lượt cài đặt tại thời điểm các cuộc tấn công bắt đầu (từ ngày 10 tháng 2). Phiên bản thương mại Duplicator Pro được cài đặt trên 170.000 trang web cũng bị ảnh hưởng.
PROFILE BUILDER PLUGIN
Ngoài ra còn có một lỗi lớn khác trong các phiên bản miễn phí và thương mại của plugin Profile Builder. Lỗi này có thể cho phép tin tặc đăng ký tài khoản quản trị trái phép trên các trang web WordPress.
Lỗi đã được vá vào ngày 10 tháng 2, nhưng các cuộc tấn công bắt đầu vào ngày 24 tháng 2, cùng ngày POC được công bố. Ít nhất hai nhóm tin tặc được cho là đang khai thác lỗi này.
Hơn 65.000 trang web (50.000 sử dụng phiên bản miễn phí và 15.000 sử dụng phiên bản thương mại) đứng trước nguy cơ bị tấn công trừ khi được cập nhật plugin phiên bản mới nhất.
THEMEGRILL DEMO IMPORTER
Hai nhóm hacker đang khai thác plugin ở trên cũng được cho là nhắm vào một lỗi trong ThemeGrill Demo Importer, một plugin được bán bởi ThemeGrill, một nhà cung cấp các chủ đề cho WordPress bản thương mại.
Plugin được cài đặt trên hơn 200.000 trang web và lỗi này cho phép người dùng xóa các trang web đang chạy phiên bản có lỗi, sau đó nếu một số điều kiện được đáp ứng sẽ chiếm lấy tài khoản quản trị viên
POC khai thác cũng đã được tung ra, do đó quản trị viên được khuyến cáo cập nhật plugin lên v1.6.3 càng sớm càng tốt.
THEMEREX ADDONS
Các cuộc tấn công cũng được phát hiện nhắm mục tiêu đến ThemeREX Addons, một plugin WordPress được cài đặt sẵn với tất cả các theme thương mại của ThemeREX.
Các cuộc tấn công vẫn đang tiếp diễn và do không có bản vá nên các quản trị viên được khuyến cáo nên gỡ bỏ plugin khỏi trang web sớm nhất có thể.
WOOCOMMERCE
Hacker cũng nhắm mục tiêu vào các trang web chạy Flexible Checkout Fields của plugin WooCommerce, được cài đặt trên hơn 20.000 bản WordPress thương mại. Các cuộc tấn công bắt đầu vào ngày 18 tháng 2, khi tin tặc tìm thấy lỗ hổng zero-day trong plugin và bắt đầu khai thác để tạo tài khoản quản trị giả mạo trên các trang web tồn tại lỗ hổng.
Các cuộc tấn công bắt đầu từ 26/2.
ASYNC JAVASCRIPT, 10WEB MAP BUILDER FOR GOOGLE MAPS, MODERN EVENTS CALENDAR LITE
3 lỗ hổng zero-day được phát hiện trên các plugin Async JavaScript, 10Web Map Builder cho Google Maps, Modern Events Calendar Lite. Các plugin này hiện đang được sử dụng tương ứng trên 100,000, 20,000, và 40,000 website.
Trong vài tháng đầu năm nay, những vụ hack nhắm tới WordPress đã ở mức thấp hơn, so với năm ngoái.
Tuy nhiên, trong hai tuần qua chứng kiến sự “hồi sinh” các cuộc tấn công vào các trang web WordPress, báo hiệu chấm dứt giai đoạn yên tĩnh vừa qua.
Tất cả các cuộc tấn công mới được phát hiện vào tháng trước nhắm tới việc khai thác các lỗi trong plugin WordPress, thay vì khai thác chính WordPress.
Nhiều cuộc tấn công nhắm mục tiêu các lỗi plugin mới được vá gần đây, hacker hy vọng chiếm quyền điều khiển các trang web trước khi các quản trị viên trang web đó cập nhật các bản vá bảo mật.
Tuy nhiên, một số cuộc tấn công cũng phức tạp hơn. Hacker đã phát hiện và bắt đầu khai thác các lỗi zero-day.
Dưới đây là tóm tắt về tất cả các chiến dịch hack WordPress đã xảy ra vào tháng 2 và nhắm vào các lỗ hổng plugin WordPress mới.
Quản trị viên trang web nên cập nhật tất cả các plugin WordPress được liệt kê bên dưới vì chúng rất có thể sẽ bị khai thác trong suốt năm nay.
DUPLICATOR
Theo báo cáo của Wordfence, kể từ khoảng giữa tháng 2, tin tặc đã khai thác một lỗi trong Duplicator, một plugin cho phép quản trị viên trang web xuất nội dung trang web. Lỗi này đã được sửa trong phiên bản 1.3.28, lỗ hổng cho phép kẻ tấn công xuất bản sao của trang web, từ đó chúng có thể trích xuất thông tin cơ sở dữ liệu và sau đó chiếm quyền điều khiển máy chủ MySQL.
Đáng lo hơn khi Duplicator là một trong những plugin phổ biến nhất trên cổng thông tin WordPress, với hơn một triệu lượt cài đặt tại thời điểm các cuộc tấn công bắt đầu (từ ngày 10 tháng 2). Phiên bản thương mại Duplicator Pro được cài đặt trên 170.000 trang web cũng bị ảnh hưởng.
PROFILE BUILDER PLUGIN
Ngoài ra còn có một lỗi lớn khác trong các phiên bản miễn phí và thương mại của plugin Profile Builder. Lỗi này có thể cho phép tin tặc đăng ký tài khoản quản trị trái phép trên các trang web WordPress.
Lỗi đã được vá vào ngày 10 tháng 2, nhưng các cuộc tấn công bắt đầu vào ngày 24 tháng 2, cùng ngày POC được công bố. Ít nhất hai nhóm tin tặc được cho là đang khai thác lỗi này.
Hơn 65.000 trang web (50.000 sử dụng phiên bản miễn phí và 15.000 sử dụng phiên bản thương mại) đứng trước nguy cơ bị tấn công trừ khi được cập nhật plugin phiên bản mới nhất.
THEMEGRILL DEMO IMPORTER
Hai nhóm hacker đang khai thác plugin ở trên cũng được cho là nhắm vào một lỗi trong ThemeGrill Demo Importer, một plugin được bán bởi ThemeGrill, một nhà cung cấp các chủ đề cho WordPress bản thương mại.
Plugin được cài đặt trên hơn 200.000 trang web và lỗi này cho phép người dùng xóa các trang web đang chạy phiên bản có lỗi, sau đó nếu một số điều kiện được đáp ứng sẽ chiếm lấy tài khoản quản trị viên
POC khai thác cũng đã được tung ra, do đó quản trị viên được khuyến cáo cập nhật plugin lên v1.6.3 càng sớm càng tốt.
THEMEREX ADDONS
Các cuộc tấn công cũng được phát hiện nhắm mục tiêu đến ThemeREX Addons, một plugin WordPress được cài đặt sẵn với tất cả các theme thương mại của ThemeREX.
Các cuộc tấn công vẫn đang tiếp diễn và do không có bản vá nên các quản trị viên được khuyến cáo nên gỡ bỏ plugin khỏi trang web sớm nhất có thể.
WOOCOMMERCE
Hacker cũng nhắm mục tiêu vào các trang web chạy Flexible Checkout Fields của plugin WooCommerce, được cài đặt trên hơn 20.000 bản WordPress thương mại. Các cuộc tấn công bắt đầu vào ngày 18 tháng 2, khi tin tặc tìm thấy lỗ hổng zero-day trong plugin và bắt đầu khai thác để tạo tài khoản quản trị giả mạo trên các trang web tồn tại lỗ hổng.
Các cuộc tấn công bắt đầu từ 26/2.
ASYNC JAVASCRIPT, 10WEB MAP BUILDER FOR GOOGLE MAPS, MODERN EVENTS CALENDAR LITE
3 lỗ hổng zero-day được phát hiện trên các plugin Async JavaScript, 10Web Map Builder cho Google Maps, Modern Events Calendar Lite. Các plugin này hiện đang được sử dụng tương ứng trên 100,000, 20,000, và 40,000 website.
Theo: ZDNet