Phát hiện lỗ hổng bảo mật plugin Rank Math cho phép cấp quyền quản trị cho bất kỳ user nào

Theo các nhà nghiên cứu, một cặp lỗ hổng bảo mật trong plugin tối ưu hóa công cụ tìm kiếm WordPress, được gọi là Rank Math, có thể cho phép tội phạm mạng từ xa nâng cao các đặc quyền và cài đặt các chuyển hướng độc hại lên một trang web mục tiêu. Đây là một plugin WordPress với hơn 200.000 cài đặt.

Theo các nhà nghiên cứu với Wordfence, một trong những sai sót là rất nghiêm trọng (10 trên 10 trên thang điểm nghiêm trọng của lỗ hổng CVSSv3). Nó có thể cho phép kẻ tấn công không được xác thực cập nhật siêu dữ liệu tùy ý. Điều này có thể bị lạm dụng để cấp hoặc thu hồi các đặc quyền quản trị cho bất kỳ người dùng đã đăng ký nào trên trang web.

Lỗ hổng thứ hai được đánh giá ở mức độ nghiêm trọng cao (7.4 theo thang độ nghiêm trọng) và có thể cho phép kẻ tấn công không được xác thực tạo ra các chuyển hướng từ hầu hết mọi vị trí trên trang web tới bất kỳ điểm nào mà chúng chọn.

Wordfence đã tiết lộ các lỗi cho nhà phát triển tiện ích bổ sung vào ngày 24 tháng 3 (tên đầy đủ của nó là “WordPress SEO Plugin – Rank Math”). Và ngay lập tức nhà cung cấp đã vá lỗi, phần vá lỗi hiện có sẵn trong phiên bản mới nhất, 1.0.41.1, vì vậy các quản trị viên web nên cập nhật trang web của mình.

Lỗ hổng siêu dữ liệu quan trọng

Rank Math cho phép người dùng cập nhật các module nâng cao trên các bài đăng trên trang web – đó là nơi xảy ra lỗi, theo một phân tích kỹ thuật được công bố vào thứ ba bởi Wordfence.

Có một chức năng có tên là  “update_metadata,”, có thể được sử dụng để cập nhật đường dẫn trên các bài đăng hiện có hoặc có thể được sử dụng để xóa hoặc cập nhật siêu dữ liệu cho các bài đăng, nhận xét và thuật ngữ. Điểm cuối này cũng cho phép cập nhật siêu dữ liệu cho người dùng.

Vấn đề là trong các phiên bản không vá, điểm cuối không bao gồm kiểm tra quyền đối với người dùng thực hiện thay đổi.

Quyền người dùng WordPress WordPress được lưu trữ trong bảng usermeta, điều đó có nghĩa là kẻ tấn công không được xác thực có thể cấp bất kỳ đặc quyền quản trị người dùng đã đăng ký nào bằng cách gửi yêu cầu $ _POST tới wp-json / rankmath / v1 / updateMeta, với tham số objectID được đặt cho ID người dùng được sửa đổi, tham số objectType được đặt thành người dùng, tham số meta [wp_user_level] được đặt thành 10 và tham số meta [wp_capabilities] [quản trị viên] được đặt thành 1, lưu ý phân tích.

Tin tặc cũng có thể thu hồi hoàn toàn các đặc quyền của quản trị viên hiện tại bằng cách gửi yêu cầu tương tự với tham số meta [wp_user_level] và tham số meta [wp_capabilities] được đặt thành các giá trị trống, các nhà nghiên cứu đã thêm, khóa quản trị viên một cách hiệu quả khỏi các trang web của riêng họ.

Lưu ý rằng những cuộc tấn công này chỉ là những khả năng quan trọng nhất. Tùy thuộc vào các plugin khác được cài đặt trên một trang web, khả năng cập nhật siêu dữ liệu bài đăng, thuật ngữ và nhận xét có thể có khả năng được sử dụng cho nhiều khai thác khác, chẳng hạn như tập lệnh chéo trang (XSS), các nhà nghiên cứu nhận xét.

Chuyển hướng độc hại Bonanza

Plugin Rank Math cũng đi kèm với một mô-đun tùy chọn có thể được sử dụng để tạo chuyển hướng trên một trang web. Chẳng hạn, một quản trị viên có thể làm điều này để hướng khách truy cập ra khỏi các trang đang được xây dựng.

Để thêm tính năng này, plugin cũng đăng ký một điểm cuối REST-API cho cái này, được gọi là “rankmath/v1/updateRedirection.”. Và, giống như lỗ hổng khác, điểm cuối này không thực hiện kiểm tra quyền, theo Wordfence – điều đó có nghĩa là kẻ tấn công có thể dễ dàng tạo ra các chuyển hướng mới hoặc sửa đổi các chuyển hướng hiện có. Do đó, cuộc tấn công về cơ bản có thể được sử dụng để ngăn chặn quyền truy cập vào hầu hết tất cả nội dung hiện có của một trang web, theo phân tích, bằng cách chuyển hướng khách truy cập đến một trang web độc hại.

Để thực hiện cuộc tấn công này, kẻ tấn công không được xác thực có thể gửi yêu cầu $ _POST tới rankmath / v1 / updateRedirection với tham số redirectionUrl được đặt ở vị trí mà chúng muốn chuyển hướng đến, tham số nguồn chuyển hướng được đặt đến vị trí để chuyển hướng từ, và một tham số hasRedirect được đặt thành true, các nhà nghiên cứu của Word Wordfence đã viết.

Tuy nhiên, có một cảnh báo chiếm tỷ lệ nghiêm trọng thấp hơn của lỗi: Hồi không thể đặt chuyển hướng thành một tệp hoặc thư mục hiện có trên máy chủ, bao gồm trang chính của trang web, theo phân tích. Điều này đã hạn chế thiệt hại ở một mức độ nào đó, trong khi kẻ tấn công có thể tạo chuyển hướng từ hầu hết các vị trí trên trang web, bao gồm các vị trí mới hoặc bất kỳ bài đăng hoặc trang hiện có nào ngoài trang chủ, họ không thể chuyển hướng khách truy cập ngay lập tức khi truy cập trang web .

Quản trị viên web có thể giảm thiểu các vấn đề bằng cách xây dựng một quyền Perm_callback ‘trên bất kỳ điểm cuối REST-API nào hoặc bằng cách cập nhật lên phiên bản mới nhất của trình cắm.

Các plugin WordPress tiếp tục tạo tiêu đề là các liên kết yếu có thể dẫn đến thỏa hiệp trang web. Chẳng hạn, vào tháng 3, một lỗ hổng nghiêm trọng trong một plugin WordPress có tên là Theme ThemeXX Addons đã được tìm thấy có thể mở ra cánh cửa để thực thi mã từ xa trong 44.000 trang web.

Cũng trong tháng 3, hai lỗ hổng – bao gồm lỗ hổng nghiêm trọng cao – đã được vá trong một plugin WordPress phổ biến có tên Popup Builder. Lỗ hổng nghiêm trọng hơn có thể cho phép kẻ tấn công không được xác thực lây nhiễm JavaScript độc hại vào cửa sổ bật lên – có khả năng mở ra hơn 100.000 trang web để tiếp quản.

Vào tháng 2, plugin WordPress phổ biến Duplicator, có hơn 1 triệu cài đặt hoạt động,  đã được phát hiện có  lỗ hổng tải xuống tệp tùy ý không được xác thực đang bị tấn công. Và, vào đầu tháng đó, một lỗ hổng nghiêm trọng trong một plugin WordPress phổ biến giúp làm cho các trang web tuân thủ Quy định bảo vệ dữ liệu chung (GDPR)  đã được tiết lộ ; nó có thể cho phép kẻ tấn công sửa đổi nội dung hoặc tiêm mã JavaScript độc hại vào các trang web nạn nhân. Nó ảnh hưởng đến 700.000 trang web.

bình luận

Leave a Comment