Sakura98
Moderator
-
03/12/2019
-
0
-
2 bài viết
Lỗ hổng Elementor Plugin được khai thác để hack các trang web WordPress
Một lỗ hổng trong plugin Elementor đang bị khai thác tích cực để tấn công vào các trang WordPress, theo cảnh báo mới đây của công ty bảo mật WordPress Defiant.
Với ước tính hơn 1 triệu lượt cài đặt trang web, Elementor Pro là phiên bản trả phí của plugin Elementor miễn phí (có trên 4 triệu người dùng), trình tạo trang kéo và thả. Chỉ plugin Elementor Pro là một bản tải xuống riêng biệt có sẵn từ trang web Elementor.com, bị ảnh hưởng bởi lỗ hổng.
Được đánh giá với số điểm CVE là 9,9, lỗ hổng có thể bị khai thác bởi những kẻ tấn công được xác thực để tải lên các file tùy ý và thực thi mã từ xa trên các trang web bị ảnh hưởng.
Cuộc tấn công lần đầu tiên được phát hiện vào ngày 6 tháng 5, đây là một lỗ hổng zero-day, những kẻ tấn công đã tích cực khai thác lỗ hổng và không có một bản vá sẵn cho người dùng Elementor Pro.
“Kẻ tấn công có thể thực thi mã từ xa trên các trang web để cài đặt một backdoor hoặc webshell nhằm duy trì quyền truy cập và có thể toàn quyền quản trị vào WordPress, thậm chí hacker có thể xóa hoàn toàn trang web của bạn”, theo ông Defiant giải thích.
Elementor đã phát hành bản vá cho lỗ hổng vào ngày 7 tháng 5. Phiên bản 2.9.4 của Elementor Pro giải quyết vấn đề này và người dùng nên cập nhật ngay lập tức.
Những kẻ tấn công đang nhắm trực tiếp vào lỗ hổng trên các trang web có đăng ký người dùng mở.
Nếu trang web không kích hoạt đăng ký người dùng, hacker cố gắng khai thác lỗ hổng được vá gần đây trong plugin Ulimate Addons for Elementor, cho phép bỏ qua đăng ký và tạo tài khoản thuê bao.
Tiếp theo, lợi dụng các tài khoản mới được tạo, những kẻ tấn công khai thác lỗ hổng Elementor Pro để thực thi mã từ xa.
Plugin Ulimate Addons for Elementor gần đây đã vá một lỗ hổng trong phiên bản 1.24.2 nhằm xử lý lỗi đăng ký. Người dùng được khuyến cáo cập nhật ngay bản vá, nếu họ sử dụng plugin cùng với Elementor Pro.
Quản trị viên cũng nên kiểm tra trang web xem có bất kỳ người dùng thuê bao không xác định nào không và tìm kiếm các file wp-xmlpc.php trong các bản cài đặt. Đây có thể dấu hiệu của việc bị khai thác.
Ngoài ra, Defiant khuyến cáo nên xóa tất cả các file hoặc thư mục không xác định trong thư mục /wp-content/uploads/elementor/custom-icons/. Các file được đặt ở đây sau khi một tài khoản lừa đảo được tạo ra là dấu hiệu rõ ràng về việc bị tấn công.
Được đánh giá với số điểm CVE là 9,9, lỗ hổng có thể bị khai thác bởi những kẻ tấn công được xác thực để tải lên các file tùy ý và thực thi mã từ xa trên các trang web bị ảnh hưởng.
Cuộc tấn công lần đầu tiên được phát hiện vào ngày 6 tháng 5, đây là một lỗ hổng zero-day, những kẻ tấn công đã tích cực khai thác lỗ hổng và không có một bản vá sẵn cho người dùng Elementor Pro.
“Kẻ tấn công có thể thực thi mã từ xa trên các trang web để cài đặt một backdoor hoặc webshell nhằm duy trì quyền truy cập và có thể toàn quyền quản trị vào WordPress, thậm chí hacker có thể xóa hoàn toàn trang web của bạn”, theo ông Defiant giải thích.
Elementor đã phát hành bản vá cho lỗ hổng vào ngày 7 tháng 5. Phiên bản 2.9.4 của Elementor Pro giải quyết vấn đề này và người dùng nên cập nhật ngay lập tức.
Những kẻ tấn công đang nhắm trực tiếp vào lỗ hổng trên các trang web có đăng ký người dùng mở.
Nếu trang web không kích hoạt đăng ký người dùng, hacker cố gắng khai thác lỗ hổng được vá gần đây trong plugin Ulimate Addons for Elementor, cho phép bỏ qua đăng ký và tạo tài khoản thuê bao.
Tiếp theo, lợi dụng các tài khoản mới được tạo, những kẻ tấn công khai thác lỗ hổng Elementor Pro để thực thi mã từ xa.
Plugin Ulimate Addons for Elementor gần đây đã vá một lỗ hổng trong phiên bản 1.24.2 nhằm xử lý lỗi đăng ký. Người dùng được khuyến cáo cập nhật ngay bản vá, nếu họ sử dụng plugin cùng với Elementor Pro.
Quản trị viên cũng nên kiểm tra trang web xem có bất kỳ người dùng thuê bao không xác định nào không và tìm kiếm các file wp-xmlpc.php trong các bản cài đặt. Đây có thể dấu hiệu của việc bị khai thác.
Ngoài ra, Defiant khuyến cáo nên xóa tất cả các file hoặc thư mục không xác định trong thư mục /wp-content/uploads/elementor/custom-icons/. Các file được đặt ở đây sau khi một tài khoản lừa đảo được tạo ra là dấu hiệu rõ ràng về việc bị tấn công.
Theo Security Week
Chỉnh sửa lần cuối: