Một lỗ hổng trong plugin WordPress Yuzo Related Posts, được sử dụng bởi 60.000 trang web, đang bị khai thác trong tự nhiên.
WordPress đang kêu gọi người dùng gỡ cài đặt plugin Yuzo liên quan đến bài viết phổ biến sau khi một lỗ hổng được phát hiện đang bị khai thác trong tự nhiên – khiến hàng chục ngàn trang web gặp rủi ro.
Các bài viết liên quan đến Yuzo, cho phép các trang web WordPress hiển thị các bài đăng liên quan đến các phân đoạn của bài viết, được cài đặt trên hơn 60.000 trang web. Một lỗ hổng kịch bản chéo trang web gần đây đã được tiết lộ trong plugin có thể được sử dụng để xóa trang web, chuyển hướng khách truy cập đến các trang web không an toàn hoặc thỏa hiệp tài khoản quản trị viên WordPress và hơn thế nữa.
Lỗ hổng đó hiện đang được khai thác trong tự nhiên, cảnh báo Dan Moen với Wordfence trong bài đăng hôm thứ Tư : Lỗ hổng, cho phép lưu trữ kịch bản chéo trang (XSS), hiện đang được khai thác trong tự nhiên. Các cuộc tấn công này dường như được liên kết với cùng một tác nhân đe dọa đã nhắm vào các lỗ hổng Social Warfare và Easy WP SMTP gần đây .
Các nhà nghiên cứu của Wordfence cho biết, plugin này đã bị xóa khỏi thư mục plugin WordPress vào ngày 30 tháng 3 sau khi một nhà nghiên cứu bảo mật công khaiđã tiết lộ một lỗ hổng chưa được vá trong plugin ngày hôm đó.
Nhóm hỗ trợ cho Yuzo Related Posts nói rằng hủy
Moen nói rằng lỗ hổng bắt nguồn từ việc thiếu kiểm tra xác thực trong plugin. Cụ thể, lỗ hổng tồn tại trong một phần của plugin phụ trách lưu trữ cài đặt trong cơ sở dữ liệu.
Lỗ hổng kịch bản chéo trang được lưu trữ đó có nghĩa là kẻ tấn công không được xác thực có thể tiêm nội dung độc hại vào cài đặt plugin. Nếu một tác nhân xấu đã đưa một tải trọng JavaScript vào cài đặt, thì tải trọng đó sẽ được chèn vào các mẫu HTML – và được trình duyệt web thực thi khi người dùng truy cập trang web bị xâm nhập, các nhà nghiên cứu cho biết.
Kể từ thứ Tư (11 ngày sau khi tiết lộ vô trách nhiệm), các nhà nghiên cứu phát hiện ra rằng lỗ hổng đang bị khai thác và các trang web có plugin được cài đặt đang bị tấn công.
Một số công ty sử dụng plugin trong trang web WordPress của họ, chẳng hạn như ManaJournal, nói rằng do hậu quả của việc khai thác mà người dùng của họ đã được chuyển hướng đến các trang web độc hại.
Những người dùng plugin khác đã vào trang Hỗ trợ WordPress để kêu gọi người khác gỡ cài đặt.
Một người dùng cho biết trang web của cô đã bị hack vì plugin này, do đó, tôi nói rằng, tôi rất tiếc vì các nhà phát triển thậm chí không nỗ lực để thông báo cho người dùng về điều này (với một bản cập nhật nêu rõ: không còn an toàn, hoặc một cái gì đó ).
Các nhà nghiên cứu đã liên kết cuộc tấn công gần đây nhất này với một khai thác plugin WordPress riêng biệt vào tháng 3: Plugin, Social Warfare cũng bị ảnh hưởng bởi một lỗ hổng kịch bản chéo trang được lưu trữ đang bị khai thác trong tự nhiên. Vụ việc xảy ra sau khi một lỗ hổng riêng biệt được tiết lộ và vá trong một plugin WordPress khác , Easy WP SMTP. Lỗ hổng này cũng bị tấn công tích cực và bị các tác nhân độc hại khai thác để thiết lập quyền kiểm soát hành chính đối với các trang web bị ảnh hưởng, các nhà nghiên cứu cho biết.
Các plugin của bên thứ ba tiếp tục là một gót chân của Achille của bảo mật WordPress. Trên thực tế, theo báo cáo của Imperva tháng 1 , gần như tất cả (98%) lỗ hổng WordPress đều liên quan đến các plugin mở rộng chức năng và tính năng của trang web hoặc blog.
Lỗ hổng trong các plugin của WordPress đã là một vấn đề tồn tại từ lâu, là Chris Chris Orr, kỹ sư hệ thống tại Tripwire, cho biết trong một email. Thư mục trình cắm thêm rất giống với cửa hàng Google Play trong đó việc kiểm tra các ứng dụng là một điểm yếu lớn. Thiếu thông báo của nhà phát triển trình cắm thêm cũng là một vấn đề cần giải quyết. Người dùng WordPress nên tự động cập nhật nền tảng và ứng dụng của họ hoặc chú ý đến những thứ họ sử dụng cũng như cách họ cư xử và để mắt đến các lỗ hổng.