Phát hiện plugin giả mạo và lỗ hổng zero-day trong WordPress
Một plugin WordPress giả mạo chứa cửa hậu (backdoor) và ba lỗ hổng zero-day, được cho là đang ảnh hưởng đến nền tảng blog cao cấp WordPress vừa được phát hiện.
Các chuyên gia bảo mật tại Trend Micro cho biết, backdoor được phát hiện là WP-SpamShield Anti-Spam, một công cụ khá phổ biến được thiết kế để chống lại thư rác. Trong khi đó, ba lỗ hổng zero-day đang được khai thác và được các nhà phân tích bảo mật tại WordPress theo dõi.
Liên quan đến backdoor, nó có thể vô hiệu hóa công cụ bảo mật, ăn cắp dữ liệu và thêm một tài khoản quản trị ẩn. Các nhà nghiên cứu bảo mật đã phát hiện ra rằng plugin giả mạo có một cấu trúc và tên tập tin dường như hợp pháp nhưng thực sự giả mạo. Ngoài ra, backdoor còn có thể cho phép kẻ tấn công tải lên bất cứ thứ gì vào trang web.
Một trong những tập tin trong plugin mang tên class-social-facebook.php có vẻ như chặn các spam Facebook không mong muốn. Tuy nhiên, phân tích thêm cho thấy nó được thiết kế để phá vỡ trang web, có khả năng khiến trang web không thể sử dụng được.
Hai tập tin khác trong plugin có tên class-term-metabox-formatter.php và class-admin-user-profile.php có thể được kẻ tấn công sử dụng để thu thập dữ liệu. Một tập tin khác có tên plugin-header.php được thiết kế để thêm tài khoản quản trị viên bổ sung vào trang web, cho phép kẻ tấn công xóa các tập tin khai thác, đồng thời tiết lộ tên người dùng, mật khẩu và email có thể được sử dụng để đăng nhập trang web bị xâm nhập.
Các plugin giả mạo cũng chứa mã có thể sử dụng để ping trang chủ, thông báo đến kẻ tấn công mỗi khi một quản trị viên kích hoạt nó trên trang web.
Trong khi đó, các trang web sử dụng các plugin nhất định có thể bị tấn công sau khi lỗ hổng zero-day được tìm thấy trong ba plugin WordPress riêng biệt là Appointments, RegistrationMagic-Custom Registration Forms và Flickr Gallery.
Mang tên PHP Object Injection Vulnerability Severity 9.8, lỗ hổng này cho phép kẻ tấn công vận dụng trang web dễ bị tổn thương để tìm nạp tập tin từ xa, sau đó lưu nó vào vị trí riêng. Nó không yêu cầu chứng thực hoặc quyền đặc biệt. Đối với các trang web chạy Flickr Gallery, chỉ cần gửi các lệnh như một yêu cầu POST vào URL gốc của trang web để có được công việc làm.
Với Appointments và RegistrationMagic-Custom Registration Forms, yêu cầu sẽ chuyển đến admin-ajax.php. Nếu kẻ tấn công truy cập vào cửa hậu của plugin, chúng có thể kiểm soát được trang web dễ bị tổn thương.
Trend Micro khuyến cáo các quản trị viên WordPress có thể vá các lỗ hổng zero-day nói trên thông qua các liên kết tương ứng Appointments (2.2.2), Flickr Gallery (1.5.3) và RegistrationMagic-Custom Registration Forms (3.7.9.3).
Ngoài các phương pháp xử lý trực tiếp, các chuyên gia CNTT và nhà phát triển/lập trình web cũng có thể phòng chống các mối đe dọa bằng các giải pháp từ Trend Micro, gồm Smart Protection Suites, Worry-Free Business Security, Deep Security, Vulnerability Protection và Deep Discovery.
Các chuyên gia bảo mật tại Trend Micro cho biết, backdoor được phát hiện là WP-SpamShield Anti-Spam, một công cụ khá phổ biến được thiết kế để chống lại thư rác. Trong khi đó, ba lỗ hổng zero-day đang được khai thác và được các nhà phân tích bảo mật tại WordPress theo dõi.
Liên quan đến backdoor, nó có thể vô hiệu hóa công cụ bảo mật, ăn cắp dữ liệu và thêm một tài khoản quản trị ẩn. Các nhà nghiên cứu bảo mật đã phát hiện ra rằng plugin giả mạo có một cấu trúc và tên tập tin dường như hợp pháp nhưng thực sự giả mạo. Ngoài ra, backdoor còn có thể cho phép kẻ tấn công tải lên bất cứ thứ gì vào trang web.
Một trong những tập tin trong plugin mang tên class-social-facebook.php có vẻ như chặn các spam Facebook không mong muốn. Tuy nhiên, phân tích thêm cho thấy nó được thiết kế để phá vỡ trang web, có khả năng khiến trang web không thể sử dụng được.
Hai tập tin khác trong plugin có tên class-term-metabox-formatter.php và class-admin-user-profile.php có thể được kẻ tấn công sử dụng để thu thập dữ liệu. Một tập tin khác có tên plugin-header.php được thiết kế để thêm tài khoản quản trị viên bổ sung vào trang web, cho phép kẻ tấn công xóa các tập tin khai thác, đồng thời tiết lộ tên người dùng, mật khẩu và email có thể được sử dụng để đăng nhập trang web bị xâm nhập.
Các plugin giả mạo cũng chứa mã có thể sử dụng để ping trang chủ, thông báo đến kẻ tấn công mỗi khi một quản trị viên kích hoạt nó trên trang web.
Trong khi đó, các trang web sử dụng các plugin nhất định có thể bị tấn công sau khi lỗ hổng zero-day được tìm thấy trong ba plugin WordPress riêng biệt là Appointments, RegistrationMagic-Custom Registration Forms và Flickr Gallery.
Mang tên PHP Object Injection Vulnerability Severity 9.8, lỗ hổng này cho phép kẻ tấn công vận dụng trang web dễ bị tổn thương để tìm nạp tập tin từ xa, sau đó lưu nó vào vị trí riêng. Nó không yêu cầu chứng thực hoặc quyền đặc biệt. Đối với các trang web chạy Flickr Gallery, chỉ cần gửi các lệnh như một yêu cầu POST vào URL gốc của trang web để có được công việc làm.
Với Appointments và RegistrationMagic-Custom Registration Forms, yêu cầu sẽ chuyển đến admin-ajax.php. Nếu kẻ tấn công truy cập vào cửa hậu của plugin, chúng có thể kiểm soát được trang web dễ bị tổn thương.
Trend Micro khuyến cáo các quản trị viên WordPress có thể vá các lỗ hổng zero-day nói trên thông qua các liên kết tương ứng Appointments (2.2.2), Flickr Gallery (1.5.3) và RegistrationMagic-Custom Registration Forms (3.7.9.3).
Ngoài các phương pháp xử lý trực tiếp, các chuyên gia CNTT và nhà phát triển/lập trình web cũng có thể phòng chống các mối đe dọa bằng các giải pháp từ Trend Micro, gồm Smart Protection Suites, Worry-Free Business Security, Deep Security, Vulnerability Protection và Deep Discovery.
Theo Thanhnien.vn
