Tin tặc đã bị phát hiện khai thác một cặp lỗ hổng bảo mật quan trọng trong một trong những plugin chia sẻ phương tiện truyền thông xã hội phổ biến để kiểm soát các trang web WordPress vẫn đang chạy phiên bản plugin cũ.
Plugin lần này là Social Warfare , đây là một plugin WordPress phổ biến và được triển khai rộng rãi với hơn 900.000 lượt tải xuống. Nó được sử dụng để thêm các nút chia sẻ xã hội vào một trang web hoặc blog WordPress.
Cuối tháng trước, những người duy trì Social Warfare cho WordPress đã phát hành phiên bản cập nhật 3.5.3 của plugin để vá hai lỗ hổng bảo mật được lưu trữ kịch bản chéo trang web (XSS) và thực thi mã từ xa (RCE) theo dõi bởi một mã định danh duy nhất, nghĩa là , CVE-2019-9978 .
Tin tặc có thể khai thác các lỗ hổng này để chạy mã PHP tùy ý và kiểm soát hoàn toàn các trang web và máy chủ mà không cần xác thực, sau đó sử dụng các trang bị xâm nhập để thực hiện khai thác tiền kỹ thuật số hoặc lưu trữ mã khai thác độc hại.
Tuy nhiên, cùng ngày khi Social Warfare phát hành phiên bản vá của plugin, một nhà nghiên cứu bảo mật giấu tên đã công bố một thông tin đầy đủ và một bằng chứng về khái niệm về lỗ hổng XSS (Cross-Site Scripting) được lưu trữ.
Ngay sau khi tiết lộ đầy đủ và phát hành PoC, những kẻ tấn công bắt đầu cố gắng khai thác lỗ hổng, nhưng may mắn thay, nó chỉ giới hạn ở hoạt động chuyển hướng JavaScript được chèn vào, với các nhà nghiên cứu không tìm thấy nỗ lực nào trong việc khai thác lỗ hổng RCE.
Giờ đây, các nhà nghiên cứu của Palo Alto Network Unit 42 đã tìm thấy một số khai thác lợi dụng các lỗ hổng này trong tự nhiên, bao gồm khai thác lỗ hổng RCE cho phép kẻ tấn công kiểm soát trang web bị ảnh hưởng và khai thác lỗ hổng XSS chuyển hướng nạn nhân đến trang web quảng cáo .
Mặc dù cả hai lỗ hổng đều bắt nguồn do xử lý đầu vào không đúng, sử dụng một chức năng sai, không đủ cuối cùng đã giúp những kẻ tấn công từ xa có thể khai thác chúng mà không yêu cầu bất kỳ xác thực nào.
“Nguyên nhân sâu xa của mỗi hai lỗ hổng này là như nhau: việc sử dụng sai hàm is_admin () trong WordPress”, các nhà nghiên cứu cho biết trong một bài đăng trên blog . “Is_admin chỉ kiểm tra nếu trang được yêu cầu là một phần của giao diện quản trị viên và sẽ không ngăn chặn bất kỳ lượt truy cập trái phép nào.”
Tại thời điểm viết bài, hơn 37.000 trang web WordPress trong số 42.000 trang web đang hoạt động, bao gồm trang web giáo dục, tài chính và tin tức (một số trang web xếp hạng hàng đầu của Alexa), vẫn đang sử dụng phiên bản plugin dễ bị lỗi thời của Social Warfare, khiến hàng trăm hàng triệu du khách của họ có nguy cơ bị hack thông qua các vectơ khác nhau.
Vì có khả năng kẻ tấn công sẽ tiếp tục khai thác các lỗ hổng để nhắm mục tiêu người dùng WordPress, nên các quản trị viên trang web rất khuyến khích cập nhật plugin Social Warfare lên phiên bản 3.5.3 hoặc mới hơn càng sớm càng tốt.