DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗ hổng nghiêm trọng trong WordPress plugin đang bị khai thác tích cực
Kẻ tấn công đang cố gắng dò quét các trang web chạy plugin Fancy Product Designer để khai thác lỗi zero-day cho phép chúng tải lên phần mềm độc hại. Fancy Product Designer là một plugin cấu hình sản phẩm trực quan cho WordPress, WooCommerce và Shopify và nó cho phép khách hàng cá nhân hóa sản phẩm bằng cách sử dụng đồ họa và nội dung.
Theo thống kê, plugin trả phí này được bán và cài đặt trong hơn 17.000 trang web. Lỗ hổng thực thi mã từ xa tồn tại trong plugin được phát hiện bởi nhà nghiên cứu bảo mật Charles Sweethill của Wordfence.
Nhà nghiên cứu Ram Gall cho biết: "Fancy Product Designer cũng được sử dụng trong việc cài đặt của WooCommerce, và rất dễ bị khai thác."
Khi nói đến phiên bản Shopify của plugin, các cuộc tấn công có thể sẽ bị chặn, do Shopify sử dụng các biện pháp kiểm soát truy cập chặt chẽ hơn cho các trang web được lưu trữ và chạy trên nền tảng này.
Kẻ tấn công khai thác thành công lỗi Fancy Product Designer có thể vượt qua các cơ chế bảo vệ tích hợp để triển khai các tệp PHP thực thi trên các trang web sử dụng plugin. Điều nay cho phép kẻ tấn công kiểm soát hoàn toàn trang web thông qua việc thực thi mã từ xa.
Gall nói: "Kẻ tấn công dường như đang nhắm mục tiêu vào các trang thương mại điện tử và cố gắng trích xuất thông tin đặt hàng từ cơ sở dữ liệu của trang web. Vì thông tin đơn đặt hàng chứa thông tin nhận dạng cá nhân của khách hàng. Nếu chủ sở hữu trang web đang sử dụng phiên bản plugin tồn tại lỗ hổng, cho dù dữ liệu này được đặt ở một vị trí an toàn, thì vẫn bị đánh cắp thông tin bởi trang web cần phải tuân thủ nguyên tắc PCI-DSS của người bán trong lĩnh vực thương mại điện tử."
Mặc dù lỗ hổng bảo mật mới bị khai thác ở quy mô nhỏ, nhưng các cuộc tấn công nhắm vào hàng nghìn trang web đang chạy plugin Fancy Product Designer đã bắt đầu hơn bốn tháng trước, vào ngày 30 tháng 1 năm 2021.
Vì lỗ hổng bảo mật đang được khai thác tích cực và được đánh giá là nghiêm trọng, khách hàng nên cài đặt ngay phiên bản vá lỗi Fancy Product Designer 4.6.9 được phát hành vào ngày 2 tháng 6.
Về cách cập nhật plugin cũng như cách xác định một trang web đã bị khai thác hay chưa, mời các bạn tham khảo báo cáo của WordFence.
Theo thống kê, plugin trả phí này được bán và cài đặt trong hơn 17.000 trang web. Lỗ hổng thực thi mã từ xa tồn tại trong plugin được phát hiện bởi nhà nghiên cứu bảo mật Charles Sweethill của Wordfence.
Nhà nghiên cứu Ram Gall cho biết: "Fancy Product Designer cũng được sử dụng trong việc cài đặt của WooCommerce, và rất dễ bị khai thác."
Khi nói đến phiên bản Shopify của plugin, các cuộc tấn công có thể sẽ bị chặn, do Shopify sử dụng các biện pháp kiểm soát truy cập chặt chẽ hơn cho các trang web được lưu trữ và chạy trên nền tảng này.
Kẻ tấn công khai thác thành công lỗi Fancy Product Designer có thể vượt qua các cơ chế bảo vệ tích hợp để triển khai các tệp PHP thực thi trên các trang web sử dụng plugin. Điều nay cho phép kẻ tấn công kiểm soát hoàn toàn trang web thông qua việc thực thi mã từ xa.
Gall nói: "Kẻ tấn công dường như đang nhắm mục tiêu vào các trang thương mại điện tử và cố gắng trích xuất thông tin đặt hàng từ cơ sở dữ liệu của trang web. Vì thông tin đơn đặt hàng chứa thông tin nhận dạng cá nhân của khách hàng. Nếu chủ sở hữu trang web đang sử dụng phiên bản plugin tồn tại lỗ hổng, cho dù dữ liệu này được đặt ở một vị trí an toàn, thì vẫn bị đánh cắp thông tin bởi trang web cần phải tuân thủ nguyên tắc PCI-DSS của người bán trong lĩnh vực thương mại điện tử."
Mặc dù lỗ hổng bảo mật mới bị khai thác ở quy mô nhỏ, nhưng các cuộc tấn công nhắm vào hàng nghìn trang web đang chạy plugin Fancy Product Designer đã bắt đầu hơn bốn tháng trước, vào ngày 30 tháng 1 năm 2021.
Vì lỗ hổng bảo mật đang được khai thác tích cực và được đánh giá là nghiêm trọng, khách hàng nên cài đặt ngay phiên bản vá lỗi Fancy Product Designer 4.6.9 được phát hành vào ngày 2 tháng 6.
Về cách cập nhật plugin cũng như cách xác định một trang web đã bị khai thác hay chưa, mời các bạn tham khảo báo cáo của WordFence.
Theo: bleepingcomputer