Tin hoạt động

Phát hiện Lỗ hổng zero-day trong plugin WordPress khiến 200,000 người dùng bị ảnh hưởng

Mới đây, một lỗ hổng zero-day leo thang đặc quyền (privilege escalation) trong plugin 'Ultimate Member' của WordPress đã bị hacker khai thác để xâm nhập vào các website bằng cách qua mặt các biện pháp bảo mật và đăng ký tài khoản quản trị viên giả mạo.  

 

 

Ultimate Member là một plugin quản lý hồ sơ người dùng và thành viên, hỗ trợ việc đăng ký và xây dựng cộng đồng trên các website WordPress. Tính đến thời điểm hiện tại, plugin này có tới hơn 200.000 lượt cài đặt. 

 

Lỗ hổng bị khai thác là CVE-2023-3460 và có điểm số CVSS (v3.1) 9,8/10. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm phiên bản mới nhất “v2.6.6”. 
 

Mặc dù các nhà phát triển đã cố gắng sửa lỗi trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6, hacker vẫn có thể khai thác lỗ hổng. Các nhà phát triển cho biết họ vẫn đang cố gắng giải quyết vấn đề tồn đọng và sớm phát hành bản cập nhật mới.  
 

Một trong các nhà phát triển plugin Ultimate Member chia sẻ: "Chúng tôi đang nỗ lực để khắc phục các lỗi liên quan đến lỗ hổng này từ phiên bản 2.6.3 ngay khi nhận được báo cáo từ người dùng". 
 

"Lỗ hổng trong các phiên bản 2.6.4, 2.6.5, 2.6.6 đã được khắc phục một phần. Tuy nhiên, chúng tôi vẫn đang làm việc cùng với đội ngũ WPScan để đạt được kết quả tốt nhất". 
 

"Tất cả các phiên bản trước đó đều có lỗ hổng nên chúng tôi khuyến nghị người dùng nâng cấp trang web lên phiên bản 2.6.6 cũng như tiếp tục cập nhật các bản vá trong tương lai để đảm bảo tính bảo mật và có được những tính năng mới nhất".

 

Dấu hiệu của cuộc tấn công khai thác lỗ hổng CVE-2023-3460 

 

Các cuộc tấn công khai thác lỗ hổng zero-day này được phát hiện bởi các chuyên gia bảo mật tại Wordfence. Họ cảnh báo rằng hacker khai thác lỗ hổng bằng cách sử dụng các biểu mẫu đăng ký của plugin để thiết lập giá trị meta người dùng tùy ý trên tài khoản của họ. 
 

Cụ thể hơn, kẻ tấn công đặt giá trị meta người dùng "wp_capabilities" để xác định vai trò người dùng của họ là quản trị viên và cho phép họ truy cập hoàn toàn vào trang web có lỗ hổng. 
 

Plugin có danh sách để chặn các key mà người dùng không nên nâng cấp; tuy nhiên, Wordfence cho biết việc qua mặt biện pháp bảo vệ này khá dễ dàng. 
 

Các trang WordPress bị tấn công bằng cách lợi dụng lỗ hổng CVE-2023-3460 sẽ có các dấu hiệu sau: 
 

  • Xuất hiện tài khoản quản trị viên mới trên trang web. 
  • Sử dụng các tên người dùng như: wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal. 
  • Bản ghi nhật ký (logs) cho thấy các địa chỉ IP độc hại truy cập vào trang đăng ký Ultimate Member. 
  • Bản ghi nhật ký (logs) cho thấy truy cập từ các địa chỉ IP 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 và 172.70.147.176. 
  • Xuất hiện tài khoản người dùng với địa chỉ email liên kết với "exelica.com". 
  • Cài đặt các plugin và giao diện WordPress mới trên trang web. 

 

WordFence khuyến nghị người dùng ngay lập tức gỡ bỏ plugin Ultimate Member do lỗ hổng nguy hiểm này vẫn chưa được vá và có thể bị khai thác rất dễ dàng. 

 

WordFence giải thích rằng ngay cả bộ quy tắc của firewall (tường lửa) mà hãng đặc biệt phát triển để bảo vệ khách hàng khỏi mối đe dọa này không thể bao gồm tất cả các kịch bản khai thác tiềm năng, do đó việc gỡ bỏ plugin cho đến khi nhà cung cấp giải quyết vấn đề là hành động sáng suốt nhất. 

 

Nếu phát hiện trang web đã bị xâm nhập, dựa vào các IoCs (Indicators of Compromise) được chia sẻ ở trên, việc gỡ bỏ plugin sẽ không đủ để khắc phục rủi ro. 

 

Trong những trường hợp đã bị xâm nhập, chủ sở hữu trang web phải tiến hành dò quét “malware” toàn diện để loại bỏ hoàn toàn rủi ro, xóa các tài khoản quản trị giả mạo.  

 

Dưới góc nhìn của chuyên gia an ninh mạng, VNCS khuyến nghị nên sử dụng các giải pháp dò quét lỗ hổng website thường xuyên để phát hiện và xử lý kịp thời các lỗ hổng, giảm thiểu rủi ro an toàn thông tin cho các tổ chức/doanh nghiệp. Hãy liên hệ với chúng tôi để được tư vấn bảo mật tổng thể, toàn diện và hiệu quả nhất!

 

Nguồn: Bleeping Computer

 

Xem thêm:

 

Quét lỗ hổng bảo mật với Acunetix Web Vulnerability Scanner

 

Ra mắt VNCS Web Monitoring – Giải pháp bảo mật website của người Việt