WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hơn 1 triệu trang WordPress bị tấn công đánh cắp thông tin cơ sở dữ liệu
Cuối tuần vừa qua, 1,3 triệu trang WordPress bị tấn công với mục tiêu tải xuống các tệp cấu hình và thu thập thông tin cơ sở dữ liệu. Những kẻ tấn công đã cố gắng khai thác các lỗ hổng XSS cũ trong các plugin và theme WordPress. Rất may, nỗ lực tấn công đã không thành công.
Đây là phát hiện của các nhà nghiên cứu tại Wordfence. Theo đó, từ ngày 29/5 đến 31/5, các nhà nghiên cứu đã quan sát (và chặn) hơn 130 triệu cuộc tấn công nhắm mục tiêu vào 1,3 triệu trang web. Đỉnh cao của chiến dịch này xảy ra vào ngày 30/5. Khi đó, các cuộc tấn công từ chiến dịch này chiếm 75% tất cả nỗ lực khai thác lỗ hổng plugin và theme trên toàn hệ sinh thái WordPress.
Cụ thể, các cuộc tấn công nhắm mục tiêu tải xuống wp-config.php, một tệp quan trọng đối với tất cả các cài đặt WordPress. Tệp này nằm trong các thư mục tệp WordPress và chứa các thông tin cơ sở dữ liệu và thông tin kết nối của trang web, cũng như các khóa và salt xác thực duy nhất. Bằng cách tải xuống các tệp cấu hình của trang web, kẻ tấn công sẽ có quyền truy cập vào cơ sở dữ liệu của trang, nơi lưu trữ nội dung và thông tin đăng nhập trang web.
Các nhà nghiên cứu đã liên kết kẻ đứng sau chiến dịch này với một cuộc tấn công trước đó hồi tháng 5 nhắm vào các lỗ hổng XSS.
Wordfence cho biết có một loạt lỗ hổng đang bị tấn công như một phần của chiến dịch, nhưng không nêu chi tiết các CVE cụ thể.
“Hầu hết lỗ hổng trong số chúng nằm trong các theme hoặc plugin được thiết kế để cho phép tải xuống tệp bằng cách đọc nội dung của tệp được cung cấp trong chuỗi truy vấn và sau đó phân phát dưới dạng tệp đính kèm có thể tải xuống”.
Các trang web có thể đã bị xâm nhập phải thay đổi mật khẩu cơ sở dữ liệu và các khóa và salt xác thực duy nhất ngay lập tức.
Người dùng cũng cần đảm bảo rằng các plugin của họ được cập nhật vì các lỗ hổng trong plugin và thêm WordPress tiếp tục là một vấn đề. Trong chiến dịch gần đây, nhiều lỗ hổng đã có sẵn các bản vá - nhưng người dùng chưa cập nhật, khiến trang web của họ dễ bị tấn công.
Đây là phát hiện của các nhà nghiên cứu tại Wordfence. Theo đó, từ ngày 29/5 đến 31/5, các nhà nghiên cứu đã quan sát (và chặn) hơn 130 triệu cuộc tấn công nhắm mục tiêu vào 1,3 triệu trang web. Đỉnh cao của chiến dịch này xảy ra vào ngày 30/5. Khi đó, các cuộc tấn công từ chiến dịch này chiếm 75% tất cả nỗ lực khai thác lỗ hổng plugin và theme trên toàn hệ sinh thái WordPress.
Cụ thể, các cuộc tấn công nhắm mục tiêu tải xuống wp-config.php, một tệp quan trọng đối với tất cả các cài đặt WordPress. Tệp này nằm trong các thư mục tệp WordPress và chứa các thông tin cơ sở dữ liệu và thông tin kết nối của trang web, cũng như các khóa và salt xác thực duy nhất. Bằng cách tải xuống các tệp cấu hình của trang web, kẻ tấn công sẽ có quyền truy cập vào cơ sở dữ liệu của trang, nơi lưu trữ nội dung và thông tin đăng nhập trang web.
Các nhà nghiên cứu đã liên kết kẻ đứng sau chiến dịch này với một cuộc tấn công trước đó hồi tháng 5 nhắm vào các lỗ hổng XSS.
Wordfence cho biết có một loạt lỗ hổng đang bị tấn công như một phần của chiến dịch, nhưng không nêu chi tiết các CVE cụ thể.
“Hầu hết lỗ hổng trong số chúng nằm trong các theme hoặc plugin được thiết kế để cho phép tải xuống tệp bằng cách đọc nội dung của tệp được cung cấp trong chuỗi truy vấn và sau đó phân phát dưới dạng tệp đính kèm có thể tải xuống”.
Các trang web có thể đã bị xâm nhập phải thay đổi mật khẩu cơ sở dữ liệu và các khóa và salt xác thực duy nhất ngay lập tức.
Người dùng cũng cần đảm bảo rằng các plugin của họ được cập nhật vì các lỗ hổng trong plugin và thêm WordPress tiếp tục là một vấn đề. Trong chiến dịch gần đây, nhiều lỗ hổng đã có sẵn các bản vá - nhưng người dùng chưa cập nhật, khiến trang web của họ dễ bị tấn công.
Theo Threatpost
