WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Phát hiện các cuộc tấn công vào Plugin Duplicator phổ biến của WordPress
Đến thời điểm bản vá được tung ra vào tuần trước, lỗi này đã ảnh hưởng đến ít nhất một triệu website, và nhiều hành vi khai thác zero-day đã được tiến hành.
Nhiều vụ khai thác đang nhắm vào một lỗ hổng đã được vá trong plugin Duplicator phổ biến của WordPress, ảnh hưởng đến hơn một triệu bản cài đặt. Hơn thế, các nhà nghiên cứu còn phát hiện 60.000 nỗ lực tấn công nhằm thu thập thông tin nhạy cảm từ các nạn nhân.
Các nhà nghiên cứu tại Wordfence phát hiện ra lỗ hổng đã bị khai thác trên thực tế và 50.000 cuộc tấn công đã xảy ra trước khi Snap Creak, đơn vị phát triển plugin này phát hành bản vá lỗi vào ngày 12/02.
Thông tin về lỗ hổng
Duplicator là một trong những tiện ích được phát triển dành riêng cho WordPress giúp người dùng có thể sao lưu, di chuyển dữ liệu website một cách nhanh chóng. Plugin này có trên 15 triệu lượt tải về và hiện đang được sử dụng trên 1 triệu website.
Tuy nhiên, các phiên bản Duplicator từ 1.3.28 và Duplicator Pro 3.8.7.1 trở về trước tồn tại lỗ hổng tải file tùy ý mà không cần xác thực.
Theo thông tin từ hãng an ninh Tenable: “Kẻ tấn công trái phép từ xa có thể khai thác lỗ hổng này bằng cách gửi yêu cầu tự tạo đến trang WordPress cài phiên bản plugin Duplicator dính lỗ hổng”.
Nhà nghiên cứu Satnam Narang của Tenable cho biết việc này sẽ cho phép kẻ tấn công tải các file nằm ngoài thư mục cho phép. Tuy nhiên, hacker cần phải biết được cấu trúc file đích hoặc sẽ phải tải về các file phổ biến”.
Narang cho biết cả hai chức năng, duplicator_download và duplicator_init đều tồn tại lỗ hổng trên các phiên bản chưa được vá, bởi chúng được triển khai bằng wp_ajax_nopriv_ hook. Có nghĩa, hai chức năng này có thể được sử dụng để thực thi trên mỗi trang WordPress được tải về dù người dùng có đăng nhập hay không.
Các cuộc tấn công
Theo Wordfence, 60.000 nỗ lực khai thác mà hãng quan sát được từ khách hàng của mình đều là tải về file wp-config.php.
“Tùy vào từng website, file wp-config.php có thể chứa code tùy chỉnh và những kẻ tấn công sẽ cố để tìm kiếm thông tin đăng nhập cơ sở dữ liệu. Với những thông tin đăng nhập này, kẻ tấn công có thể truy cập trực tiếp vào cơ sở dữ liệu trên trang của nạn nhân nếu trang này cho phép kết nối từ xa. Việc truy cập có thể được kẻ tấn công sử dụng để tạo tài khoản quản trị của riêng chúng và sau đó tấn công trang hoặc đơn giản là tiêm nhiễm nội dung hoặc thu thập dữ liệu.
Vì vậy, kể cả các website có cơ sở dữ liệu được cấu hình chỉ cho phép truy cập nội bộ vẫn có thể bị tấn công, nếu những dữ liệu này được đặt trong môi trường máy chủ được phép chia sẻ.
Hầu hết các cuộc tấn công đều xuất phát từ cùng địa chỉ IP 77.71.115.52. Đây là địa chỉ từ một trung tâm dữ liệu tại Bulgaria, do Varna Data Center EOOD sở hữu. Các cuộc tấn công đều thông qua các yêu cầu GET sử dụng các chuỗi truy vấn “action=duplicator_download” và “file=/../wp-config.php.”
Wordfence cũng cho biết thêm địa chỉ IP này có dính dáng đến hành vi xấu khác nhằm vào WordPress gần đây.
Snap Creak đã tung bản vá trong Duplicator phiên bản 1.3.28 và Duplicator Pro phiên bản 3.8.7.1 vào ngày 12/02. Người dùng các tiện ích này được khuyến cáo cần nâng cấp lên các phiên bản nêu trên hoặc cao hơn càng sớm càng tốt.
Các nhà nghiên cứu tại Wordfence phát hiện ra lỗ hổng đã bị khai thác trên thực tế và 50.000 cuộc tấn công đã xảy ra trước khi Snap Creak, đơn vị phát triển plugin này phát hành bản vá lỗi vào ngày 12/02.
Thông tin về lỗ hổng
Duplicator là một trong những tiện ích được phát triển dành riêng cho WordPress giúp người dùng có thể sao lưu, di chuyển dữ liệu website một cách nhanh chóng. Plugin này có trên 15 triệu lượt tải về và hiện đang được sử dụng trên 1 triệu website.
Tuy nhiên, các phiên bản Duplicator từ 1.3.28 và Duplicator Pro 3.8.7.1 trở về trước tồn tại lỗ hổng tải file tùy ý mà không cần xác thực.
Theo thông tin từ hãng an ninh Tenable: “Kẻ tấn công trái phép từ xa có thể khai thác lỗ hổng này bằng cách gửi yêu cầu tự tạo đến trang WordPress cài phiên bản plugin Duplicator dính lỗ hổng”.
Nhà nghiên cứu Satnam Narang của Tenable cho biết việc này sẽ cho phép kẻ tấn công tải các file nằm ngoài thư mục cho phép. Tuy nhiên, hacker cần phải biết được cấu trúc file đích hoặc sẽ phải tải về các file phổ biến”.
Narang cho biết cả hai chức năng, duplicator_download và duplicator_init đều tồn tại lỗ hổng trên các phiên bản chưa được vá, bởi chúng được triển khai bằng wp_ajax_nopriv_ hook. Có nghĩa, hai chức năng này có thể được sử dụng để thực thi trên mỗi trang WordPress được tải về dù người dùng có đăng nhập hay không.
Các cuộc tấn công
Theo Wordfence, 60.000 nỗ lực khai thác mà hãng quan sát được từ khách hàng của mình đều là tải về file wp-config.php.
“Tùy vào từng website, file wp-config.php có thể chứa code tùy chỉnh và những kẻ tấn công sẽ cố để tìm kiếm thông tin đăng nhập cơ sở dữ liệu. Với những thông tin đăng nhập này, kẻ tấn công có thể truy cập trực tiếp vào cơ sở dữ liệu trên trang của nạn nhân nếu trang này cho phép kết nối từ xa. Việc truy cập có thể được kẻ tấn công sử dụng để tạo tài khoản quản trị của riêng chúng và sau đó tấn công trang hoặc đơn giản là tiêm nhiễm nội dung hoặc thu thập dữ liệu.
Vì vậy, kể cả các website có cơ sở dữ liệu được cấu hình chỉ cho phép truy cập nội bộ vẫn có thể bị tấn công, nếu những dữ liệu này được đặt trong môi trường máy chủ được phép chia sẻ.
Hầu hết các cuộc tấn công đều xuất phát từ cùng địa chỉ IP 77.71.115.52. Đây là địa chỉ từ một trung tâm dữ liệu tại Bulgaria, do Varna Data Center EOOD sở hữu. Các cuộc tấn công đều thông qua các yêu cầu GET sử dụng các chuỗi truy vấn “action=duplicator_download” và “file=/../wp-config.php.”
Wordfence cũng cho biết thêm địa chỉ IP này có dính dáng đến hành vi xấu khác nhằm vào WordPress gần đây.
Snap Creak đã tung bản vá trong Duplicator phiên bản 1.3.28 và Duplicator Pro phiên bản 3.8.7.1 vào ngày 12/02. Người dùng các tiện ích này được khuyến cáo cần nâng cấp lên các phiên bản nêu trên hoặc cao hơn càng sớm càng tốt.
Theo Threatpost