Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật nghiêm trọng cao trong các plugin WordPress đang được các tác nhân đe dọa tích cực khai thác để tạo tài khoản quản trị viên giả mạo để khai thác tiếp theo.
"Những lỗ hổng này được tìm thấy trong các plugin WordPress khác nhau và dễ bị tấn công cross-site scripting (XSS) được lưu trữ không được xác thực do khử trùng đầu vào không đầy đủ và thoát ra đầu ra, khiến kẻ tấn công có thể tiêm các tập lệnh độc hại", các nhà nghiên cứu Simran Khalsa, Xavier Stevens và Matthew Mathur của Fastly cho biết.
Các lỗi bảo mật được đề cập được liệt kê dưới đây -
- CVE-2023-6961 (điểm CVSS: 7.2) - Tập lệnh chéo trang web được lưu trữ chưa được xác thực trong WP Meta SEO < = 4.5.12
- CVE-2023-40000 (điểm CVSS: 8.3) - Tập lệnh chéo trang được lưu trữ chưa được xác thực trong bộ nhớ đệm LiteSpeed < = 5.7
- CVE-2024-2194 (điểm CVSS: 7.2) - Tập lệnh chéo trang được lưu trữ chưa được xác thực trong thống kê WP < = 14.5
Các chuỗi tấn công khai thác các lỗ hổng liên quan đến việc tiêm một payload trỏ đến một tệp JavaScript bị xáo trộn được lưu trữ trên một miền bên ngoài, chịu trách nhiệm tạo tài khoản quản trị mới, chèn backdoor và thiết lập các tập lệnh theo dõi.
Các backdoor PHP được đưa vào cả tệp plugin và chủ đề, trong khi tập lệnh theo dõi được thiết kế để gửi yêu cầu HTTP GET chứa thông tin máy chủ HTTP đến máy chủ từ xa ("your.mystiqueapi [.] com/?your").
Fastly cho biết họ đã phát hiện một tỷ lệ đáng kể các nỗ lực khai thác có nguồn gốc từ các địa chỉ IP được liên kết với Hệ thống tự trị (AS) IP Volume Inc. (AS202425), với một phần trong số đó đến từ Hà Lan.
Điều đáng chú ý là công ty bảo mật WordPress WPScan trước đây đã tiết lộ các nỗ lực tấn công tương tự nhắm vào CVE-2023-40000 để tạo tài khoản quản trị giả mạo trên các trang web nhạy cảm.
Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, chủ sở hữu trang web WordPress nên xem lại các plugin đã cài đặt của họ, áp dụng các bản cập nhật mới nhất và kiểm tra các trang web để tìm dấu hiệu của phần mềm độc hại hoặc sự hiện diện của người dùng quản trị viên đáng ngờ.