Kẻ tấn công đang nhắm vào lỗ hổng nghiêm trọng trong plugin WP Automatic dành cho WordPress để tạo tài khoản người dùng với quyền quản trị và cài đặt backdoor để chiếm quyền truy cập website lâu dài.
Hiện tại, plugin WP Automatic được cài đặt trên hơn 30.000 trang web, cho phép quản trị viên tự động nhập nội dung (ví dụ: văn bản, hình ảnh, video) từ các nguồn trực tuyến khác nhau và xuất bản trên trang web WordPress của họ.
Lỗ hổng bị khai thác được xác định là mã lỗi CVE-2024-27956 và nhận được điểm mức độ nghiêm trọng là 9.9/10.
Lỗ hổng này được các nhà nghiên cứu tại dịch vụ giảm thiểu lỗ hổng an ninh PatchStack công khai tiết lộ vào ngày 13 tháng 3 và được mô tả là vấn đề tiêm SQL ảnh hưởng đến các phiên bản WP Automatic trước 3.9.2.0.
Lỗ hổng nằm trong cơ chế xác thực người dùng của plugin. Có thể bỏ qua bước xác thực để gửi các truy vấn SQL đến cơ sở dữ liệu của trang web. Kẻ tấn công có thể sử dụng các lệnh truy vấn để tạo tài khoản quản trị viên trên trang web mục tiêu.
Hơn 5.5 triệu lượt tấn công
Kể từ khi PatchStack tiết lộ vấn đề bảo mật, WPScan của Automattic đã quan sát thấy hơn 5.5 triệu lượt tấn công cố gắng lợi dụng lỗ hổng này, hầu hết trong số đó được ghi nhận vào ngày 31 tháng 3.
WPScan báo cáo rằng sau khi có được quyền truy cập quản trị vào trang web mục tiêu, kẻ tấn công sẽ tạo backdoor và làm đoạn mã trang web trở nên khó hiểu để khiến việc tìm kiếm trở nên khó khăn hơn.
Báo cáo của WPScan nêu rõ: "Khi một trang web WordPress bị tấn công, kẻ tấn công đảm bảo tính lâu dài cho quyền truy cập của chúng bằng cách tạo backdoor và làm đoạn mã trang web trở nên phức tạp."
Để ngăn chặn các kẻ tấn công khác xâm nhập trang web bằng cách khai thác cùng một vấn đề và tránh bị phát hiện, kẻ tấn công cũng đổi tên tệp tin dễ bị tấn công thành "csv.php".
Một khi kiểm soát được trang web, kẻ tấn công thường cài đặt các plugin bổ sung cho phép tải lên tệp và chỉnh sửa mã trang.
WPScan cung cấp một bộ dấu hiệu xâm nhập có thể giúp quản trị viên xác định xem trang web của họ có bị tấn công hay không.
Quản trị viên có thể kiểm tra các dấu hiệu cho thấy kẻ tấn công đã chiếm quyền điều khiển trang web bằng cách tìm kiếm sự hiện diện của tài khoản quản trị viên bắt đầu bằng "xtw" và các tệp có tên web.php và index.php, đây là các backdoor được cài đặt trong chiến dịch gần đây.
Để giảm thiểu rủi ro bị tấn công, các nhà nghiên cứu khuyên quản trị viên trang web WordPress cập nhật plugin WP Automatic lên phiên bản 3.92.1 trở lên.
WPScan cũng khuyên chủ sở hữu trang web thường xuyên tạo bản sao lưu trang web của họ để họ có thể nhanh chóng cài đặt các bản sao không bị ảnh hưởng trong trường hợp bị tấn công.
Theo BleepingComputer.