Lỗ hổng plugin WordPress cho phép kẻ tấn công giả mạo email

[nǝıH]

Lỗ hổng mức độ nghiêm trọng cao trong plugin “Email Subscribers & Newsletters” của Icegram ảnh hưởng đến hơn 100.000 trang web sử dụng WordPress.

Hơn 100.000 trang web WordPress bị ảnh hưởng bởi lỗ hổng nghiêm trọng trong plugin hỗ trợ các trang web gửi email và tin tức cho những người đăng ký (subcriber) trang web đó.

Lỗ hổng tồn tại trong plugin “Email Subscribers & Newsletters” của Icegram. Plugin này cho phép chủ nhân website tìm kiếm khách hàng tiềm năng, tự động gửi email thông báo bài đăng blog mới. Kẻ tấn công từ xa không được xác thực có thể khai thác lỗ hổng để gửi email giả mạo đến tất cả những người đã có trong danh sách liên hệ hoặc đã đăng ký. Hơn nữa, kẻ tấn công có quyền kiểm soát toàn bộ nội dung và chủ đề của email.

Theo các nhà nghiên cứu tại Tenable - những người phát hiện ra lỗ hổng này, để sửa lỗi người dùng phải nâng cấp lên plugin WordPress “Email Subscriber & Newsletters” phiên bản 4.5.6 hoặc cao hơn.
(Chi tiết PoC tại đây)

Lỗ hổng CVE-2020-5780 được chấm 7,5/10 thang điểm CVSS. Đây được coi là lỗ hổng có mức độ nghiêm trọng cao. Nó ảnh hưởng đến các phiên bản 4.5.6 trở về trước của plugin “Email Subscribers & Newsletters”.

Vấn đề bắt nguồn từ lỗ hổng giả mạo email trong class “class-es-newsletters.php”. Alex Peña, kỹ sư nghiên cứu tại Tenable cho biết: "Người dùng chưa được xác thực có thể gửi một ajax request đến hàm admin_init, điều này sẽ gọi đến hàm process_broadcast_submission".

Bằng cách thay đổi các tham số trong request và do thiếu cơ chế xác thực, kẻ tấn công có thể thay đổi thời gian gửi email cho toàn bộ danh sách liên hệ.

Trong một tình huống tấn công thực tế, kẻ tấn công từ xa chưa được xác thực có thể gửi một request đặc biệt đến một máy chủ WordPress tồn tại lỗ hổng. Sau đó, yêu cầu lên lịch gửi một email đến toàn bộ danh sách liên hệ. Trong đó, kẻ tấn công có thể tùy ý đặt thời gian gửi, danh sách liên hệ, chủ đề và nội dung của email được phát đi.

"Vấn đề có thể bị lợi dụng để thực hiện tấn công lừa đảo, tương tự như cuộc tấn công mà Twitter đã gặp phải gần đây với mục tiêu là các cá nhân trong danh sách gửi mail của một tổ chức cụ thể. Vì email đến từ một tổ chưc đáng tin cậy, người nhận sẽ tin tưởng thông tin từ người gửi và dễ bị đánh lừa bởi nội dung của email".

Các nhà nghiên cứu đã thông báo về vấn đề của plugin này vào ngày 26 tháng 8 và sau đó đã có bản vá được phát hành.

Các plugin WordPress được phát hiện có nhiều lỗ hổng trong tháng qua. Đầu tháng 8, một plugin được dùng để thêm các câu hỏi và khảo sát vào trang web WordPress được phát hiện. Các lỗ hổng có thể bị khai thác từ xa. Hacker có thể thực hiện các cuộc tấn công khác nhau, bao gồm cả việc chiếm quyền điều khiển hoàn toàn trang web. Cũng trong tháng 8, một plugin WordPress có tên Newsletter với hơn 300.000 lượt cài đặt bị phát hiện tồn tại 2 lỗ hổng cho phép thực thi mã tùy ý hay thậm chí là chiếm quyền điều khiển trang web.

Vào tháng 7 các nhà nghiên cứu đã cảnh báo về một lỗ hổng nghiêm trọng trong một plugin WordPress có tên là Comments - wpDiscuz, được cài đặt trên hơn 70.000 trang web. Lỗ hổng này cho phép những kẻ tấn công chưa được xác thực có thể tải lên các tệp tùy ý (bao gồm cả tệp PHP) và sau đó thực thi mã từ xa trên các máy chủ của trang web.

Nguồn: threatpost​