Hàng loạt website đối mặt nguy cơ bị chiếm quyền khi PoC lỗ hổng Atarim được công bố

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.494 bài viết
Hàng loạt website đối mặt nguy cơ bị chiếm quyền khi PoC lỗ hổng Atarim được công bố
WhiteHat Team
Một mã khai thác (PoC) đã được công bố công khai cho CVE-2025-60188, lỗ hổng vượt qua cơ chế xác thực ở mức độ nghiêm trọng ảnh hưởng đến plugin Atarim trên nền tảng WordPress. Lỗ hổng do nhà nghiên cứu bảo mật m4sh-wacker phát hiện và công bố kèm theo phân tích kỹ thuật chi tiết cùng mã khai thác hoàn chỉnh, đặt hàng nghìn website đứng trước nguy cơ bị rò rỉ dữ liệu nhạy cảm.
1768279966259.png

Theo thông tin công bố, lỗ hổng bắt nguồn từ cách Atarim triển khai cơ chế xác thực dựa trên HMAC một cách không an toàn. Cụ thể, plugin sử dụng site_id làm khóa bí mật để tạo chữ ký HMAC-SHA256 cho các yêu cầu xác thực. Tuy nhiên, site_id này lại bị lộ thông qua một endpoint REST API công khai, cho phép bất kỳ ai cũng có thể truy cập mà không cần đăng nhập.

Khi đã thu thập được site_id, kẻ tấn công có thể tự tạo chữ ký HMAC hợp lệ ngay trên máy của mình, sau đó chèn chữ ký giả mạo này vào header của các yêu cầu HTTP gửi tới hệ thống. Bằng cách này, kẻ tấn công có thể vượt qua hoàn toàn lớp xác thực và truy cập trái phép vào các hành động AJAX mang tính quản trị như wpf_website_users hoặc wpf_website_details.

Chuỗi tấn công không yêu cầu xác thực, không cần tương tác người dùng và cũng không đòi hỏi kỹ thuật khai thác phức tạp. Điều này khiến CVE-2025-60188 trở thành một lỗ hổng có khả năng bị khai thác hàng loạt trong thực tế. Hậu quả có thể bao gồm việc lộ thông tin định danh cá nhân như tên người dùng, địa chỉ email, vai trò tài khoản, cùng với các thông tin cấu hình hệ thống nội bộ và thậm chí cả khóa bản quyền nếu có.

Kho mã PoC được công bố công khai bao gồm tài liệu kỹ thuật đầy đủ và mã khai thác viết bằng Python. Việc khai thác chỉ yêu cầu thư viện requests phổ biến và có thể được thực thi ngay sau khi cài đặt phụ thuộc bằng pip, làm giảm đáng kể rào cản kỹ thuật đối với các tác nhân tấn công.

CVE-2025-60188 được đánh giá ở mức nghiêm trọng và hiện đã được công bố chính thức. Trước tình hình này, quản trị viên WordPress đang sử dụng plugin Atarim được khuyến nghị cập nhật ngay lên phiên bản đã vá lỗi. Các bản vá thường áp dụng khóa bí mật có độ ngẫu nhiên cao, được sinh từ các hằng số salt của WordPress thông qua wp_salt, đồng thời sử dụng các hàm so sánh hằng thời gian để tránh các rủi ro liên quan đến tấn công kênh bên.

Đối với các tổ chức chưa thể cập nhật ngay, đội ngũ kỹ thuật cần thực hiện rà soát nhật ký truy cập để tìm kiếm các dấu hiệu bất thường tại các điểm cuối REST API và xem xét việc hạn chế tạm thời các chức năng quản trị nhạy cảm cho đến khi các biện pháp khắc phục được triển khai hoàn tất.
Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong Undertow đe dọa hàng loạt hệ thống Java doanh nghiệp
  • Botnet RondoDox lợi dụng lỗ hổng React2Shell đẩy hàng chục nghìn máy chủ vào nguy hiểm
  • Lỗ hổng trong SmarterMail khiến hàng nghìn máy chủ có nguy cơ bị tin tặc chiếm quyền
  • Hai lỗ hổng Zimbra đe dọa hàng nghìn hệ thống email doanh nghiệp
  • Lỗ hổng trong Desktop Window Manager cho phép kẻ tấn công leo thang đặc quyền cục bộ
  • Lỗ hổng zero-day trong Chromium đe dọa hàng loạt trình duyệt dùng hàng ngày
    • Bên trên