WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hơn 1 triệu website WordPress bị ảnh hưởng bởi lỗ hổng Plugin nghiêm trọng
Hơn một triệu website sử dụng ứng dụng quản lý nội dung WordPress đang có nguy cơ bị hacker tấn công qua lỗ hổng nghiêm trọng trong hầu hết các phiên bản plugin có tên WP-Slimstat.
Lỗ hổng SQL này có thể được sử dụng để trích xuất dữ liệu nhạy cảm, bao gồm: mật khẩu mã hóa và các key mã hóa được sử dụng để quản trị website từ xa.
“Nếu website của bạn đang sử dụng phiên bản có lỗ hổng plugin (các phiên bản dưới WP-Slimstat 3.9.6), website của bạn đang bị nguy hiểm. Một khi khai thác thành công lỗ hổng, kẻ xấu có thể thực hiện tấn công Blind SQL Injection, và lấy thông tin nhạy cảm trên cơ sở dữ liệu bao gồm: tên đăng nhập, mật khẩu, WordPress Secret Keys…
Các key bảo mật WP-Slimstat không có gì phức tạp hơn mã MD5của plugin. Hacker có thể sử dụng Internet Archive hay các site tương tự để xác định website có lỗ hổng đang hoạt động. Hacker sẽ có 30 triệu giá trị để test, và có thể chỉ mất 10 phút để thử các giá trị này. Một khi key được xác định, kẻ xấu có thể lấy thông tin từ cơ sở dữ liệu.
WP-Slimstat là công cụ phân tích. Theo List trên WordPress cho thấy đã có hơn 1.300.000 lượt tải công cụ này. Quản trị website đang sử dụng plugin nên cập nhật phiên bản mới nhất để được an toàn.
Nguồn: Arstechnica.com
Lỗ hổng SQL này có thể được sử dụng để trích xuất dữ liệu nhạy cảm, bao gồm: mật khẩu mã hóa và các key mã hóa được sử dụng để quản trị website từ xa.
“Nếu website của bạn đang sử dụng phiên bản có lỗ hổng plugin (các phiên bản dưới WP-Slimstat 3.9.6), website của bạn đang bị nguy hiểm. Một khi khai thác thành công lỗ hổng, kẻ xấu có thể thực hiện tấn công Blind SQL Injection, và lấy thông tin nhạy cảm trên cơ sở dữ liệu bao gồm: tên đăng nhập, mật khẩu, WordPress Secret Keys…
Các key bảo mật WP-Slimstat không có gì phức tạp hơn mã MD5của plugin. Hacker có thể sử dụng Internet Archive hay các site tương tự để xác định website có lỗ hổng đang hoạt động. Hacker sẽ có 30 triệu giá trị để test, và có thể chỉ mất 10 phút để thử các giá trị này. Một khi key được xác định, kẻ xấu có thể lấy thông tin từ cơ sở dữ liệu.
WP-Slimstat là công cụ phân tích. Theo List trên WordPress cho thấy đã có hơn 1.300.000 lượt tải công cụ này. Quản trị website đang sử dụng plugin nên cập nhật phiên bản mới nhất để được an toàn.
Nguồn: Arstechnica.com