WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Tấn công quy mô lớn nhắm tới plugin Tatsu Builder của WordPress
Hàng chục nghìn trang web WordPress đang có nguy cơ bị tấn công quy mô lớn qua lỗ hổng thực thi mã từ xa trong plugin Tatsu Builder.
Lỗ hổng CVE-2021-25094 (điểm CVSS là 8,1) tồn tại do có thể sử dụng hành động add_custom_font mà không cần xác thực khi tải lên một file zip giả mạo được giải nén trong thư mục tải lên của Wordpress.
Cho dù plugin có kiểm soát phần mở rộng (extension), nhưng hoàn toàn có thể bị qua mặt bằng cách thêm một shell PHP với tên tệp bắt đầu bằng dấu chấm ("."). Không những thế, điều kiện tương tranh (race condition) trong quá trình giải nén cho phép hacker gọi các tập tin “shell”.
Lỗ hổng này ảnh hưởng đến cả phiên bản miễn phí và mất phí của Tatsu Builder, một plugin độc quyền không có trong kho lưu trữ chính thức của WordPress, nhưng ước tính có khoảng 20.000 đến 50.000 lượt cài đặt.
Mặc dù Tatsu đã gửi một email thông báo khẩn cấp cho người dùng vào đầu tháng 4, ít nhất 1/4 tổng số các bản cài đặt vẫn có nguy cơ bị tấn công.
Ảnh hưởng đến tất cả các phiên bản Tatsu Builder trước 3.3.13, lỗi có thể bị khai thác bởi những kẻ tấn công từ xa, chưa được xác thực để thực thi mã trên các bản cài đặt dễ bị tấn công.
Từ 10/ 5, đã phát hiện nhiều dấu hiệu thăm dò các trang web WordPress để tìm kiếm các trang có sử dụng plugin tồn tại lỗ hổng, số lượng các cuộc tấn công đạt đỉnh điểm là 5,9 triệu lần thử vào ngày 14 tháng 5.
Theo công ty Defiant, những kẻ tấn công đã tạo ra một mạng lưới rộng khắp, nhắm mục tiêu vào khoảng 1,4 triệu trang web vào ngày hôm đó. Việc tấn công vẫn đang tiếp tục, tuy nhiên số lượng đã giảm.
Defiant nói: “Hầu hết các cuộc tấn công mà chúng tôi đã thấy đều là các cuộc tấn công thăm dò để xác định sự hiện diện của một plugin dễ bị tấn công.
Hãng cũng đã công bố các chỉ số về sự xâm phạm (IoC) liên quan đến chiến dịch này, cho rằng hầu hết các cuộc tấn công quan sát được đều bắt nguồn từ một số ít địa chỉ IP, với ít nhất ba địa chỉ IP được sử dụng để tấn công hơn một triệu trang web.
Trên các trang web dễ bị tấn công, những kẻ tấn công sẽ triển khai một trình thả (dropper) có khả năng tải phần mềm độc hại xuống một thư mục con được đặt tên ngẫu nhiên. Defiant giải thích rằng trình thả này được triển khai dưới dạng một tệp ẩn.
Tatsu Builder phiên bản 3.3.13 đã cập nhật bản vá đầy đủ cho lỗ hổng này (bản sửa lỗi một phần đã được bao gồm trong phiên bản 3.3.12) và người dùng nên cập nhật lên phiên bản này càng sớm càng tốt.
Lỗ hổng CVE-2021-25094 (điểm CVSS là 8,1) tồn tại do có thể sử dụng hành động add_custom_font mà không cần xác thực khi tải lên một file zip giả mạo được giải nén trong thư mục tải lên của Wordpress.
Lỗ hổng này ảnh hưởng đến cả phiên bản miễn phí và mất phí của Tatsu Builder, một plugin độc quyền không có trong kho lưu trữ chính thức của WordPress, nhưng ước tính có khoảng 20.000 đến 50.000 lượt cài đặt.
Mặc dù Tatsu đã gửi một email thông báo khẩn cấp cho người dùng vào đầu tháng 4, ít nhất 1/4 tổng số các bản cài đặt vẫn có nguy cơ bị tấn công.
Ảnh hưởng đến tất cả các phiên bản Tatsu Builder trước 3.3.13, lỗi có thể bị khai thác bởi những kẻ tấn công từ xa, chưa được xác thực để thực thi mã trên các bản cài đặt dễ bị tấn công.
Từ 10/ 5, đã phát hiện nhiều dấu hiệu thăm dò các trang web WordPress để tìm kiếm các trang có sử dụng plugin tồn tại lỗ hổng, số lượng các cuộc tấn công đạt đỉnh điểm là 5,9 triệu lần thử vào ngày 14 tháng 5.
Theo công ty Defiant, những kẻ tấn công đã tạo ra một mạng lưới rộng khắp, nhắm mục tiêu vào khoảng 1,4 triệu trang web vào ngày hôm đó. Việc tấn công vẫn đang tiếp tục, tuy nhiên số lượng đã giảm.
Defiant nói: “Hầu hết các cuộc tấn công mà chúng tôi đã thấy đều là các cuộc tấn công thăm dò để xác định sự hiện diện của một plugin dễ bị tấn công.
Hãng cũng đã công bố các chỉ số về sự xâm phạm (IoC) liên quan đến chiến dịch này, cho rằng hầu hết các cuộc tấn công quan sát được đều bắt nguồn từ một số ít địa chỉ IP, với ít nhất ba địa chỉ IP được sử dụng để tấn công hơn một triệu trang web.
Trên các trang web dễ bị tấn công, những kẻ tấn công sẽ triển khai một trình thả (dropper) có khả năng tải phần mềm độc hại xuống một thư mục con được đặt tên ngẫu nhiên. Defiant giải thích rằng trình thả này được triển khai dưới dạng một tệp ẩn.
Tatsu Builder phiên bản 3.3.13 đã cập nhật bản vá đầy đủ cho lỗ hổng này (bản sửa lỗi một phần đã được bao gồm trong phiên bản 3.3.12) và người dùng nên cập nhật lên phiên bản này càng sớm càng tốt.
Theo: Securityweek
Chỉnh sửa lần cuối bởi người điều hành: