Plugin có tên “Yuzo Related Posts”, được cài đặt trên hơn 60,000 website, đã bị xóa bỏ khỏi thư viện plugin của WordPress.org trong ngày 30 tháng 3 năm 2019 sau khi chứa lỗ hổng không có bản vá và được tiết lộ bởi một nhà nghiên cứu về bảo mật. Lỗ hổng này cho phép thực hiện tấn công dạng Stored-XSS và hiện đang bị lợi dụng để tấn công các website sử dụng nền tảng wordpress và có cài đặt plugin. Các cuộc tấn công có dấu hiệu liên quan tới hacker đã sử dụng các lỗ hổng Social Warfare và Easy WP SMTP trước đó. Với việc sử dụng lỗ hổng này, các cuộc tấn công có thể vượt qua cơ chế bảo vệ của Wordfence, plugin được ví như tường lửa của wordpress.

Tiếp tục tấn công hàm is_admin() – Sai lầm từ nhà phát triển

Lỗ hổng trong plugin Yuzo Related Posts do việc kiểm tra xác thực không được thực hiện chặt chẽ trong đoạn mã chịu trách nhiệm lưu trữ thông tin cấu hình vào cơ sở dữ liệu. Mã dưới đây là mấu chốt của vấn đề [assets/ilenframework/core.php]

Nhà phát triển thường sử dụng sai is_admin()  để kiểm tra một mã yêu cầu đặc quyền quản trị có nên được chạy hay không, tuy nhiên hàm is_admin() được thiết kế với mục đích sử dụng để kiểm tra truy vấn hiện tại có nằm trong giao diện quản trị hay không. Xem thêm về hàm is_admin().

Trong đoạn mã này self::_ini_() được gọi theo bất kì yêu cầu nào của giao diện quản trị, kể cả /wp-admin/options-general.php và /wp-admin/admin-post.php , cho phép gửi 1 yêu cầu dạng POST được xử lý đến các trang đó được sử lý bởi self::save_options(); trong mã.

Kết quả là một kẻ tấn công không cần quyền xác thực cũng có thể chèn các nội dung độc hại, ví dụ như một đoạn mã javascript, vào trong cấu hình của plugin. Đoạn mã này sau đó được thêm vào trong HTML templates tương ứng của plugin và được thực thi bởi trình duyệt khi người dùng truy cập website. Lỗ hổng này (Một dạng Stored-XSS) có thể lợi dụng để tấn công thay đổi giao diện (deface), lừa đảo người dùng.

XEM THÊM: Plugin jQuery bị khai thác từ lỗ hổng Zero-day

Khai thác chuyển hướng mã độc

11 ngày sau khi lỗ hổng được công bố một cách vô trách nhiệm (Tác giả đã không có tính trách nhiệm với cộng đồng khi không kèm theo bản vá, hơn nữa còn cung cấp mẫu thử nghiệm tấn công PoC), các Hacker đã tuyên bố bắt đầu khai thác các trang web có cài đặt “Yuzo Related Posts”.

Sau khi khai thác, trên mã nguồn website sẽ bị chèn một đoạn mã javascript (Nội dung đoạn mã chính là giá trị cấu hình của tham số yuzo_related_post_css_and_style trong plugin)

Sau khi phân tích nội dung trên, chúng ta thu được một đoạn mã javascript:

Đoạn mã trên tiến hành chèn một thẻ script vào trong header của website với nội dung được lấy từ máy chủ http://hellofromhony.com/. Khi người dùng truy cập website đã bị khai thác, đoạn mã javascript từ máy chủ http://hellofromhony.com/  sẽ chuyển hướng họ tới các website lừa đảo hoặc chứa mã độc.

3 lỗ hổng có nhiều điểm giống nhau

Phân tích của chúng tôi cho thấy tấn công này có nhiều điểm tương đồng với tấn công dựa vào 2 lỗ hổng được phát hiện trong 2 plugin trước đó là Social Warfare và Easy WP SMTP.

• Mã độc cùng được lưu trữ trên máy chủ hellofromhony.org có địa chỉ IP: 176.123.9[.]53 – cùng địa chỉ IP đã thực hiện các chiến dịch tấn công dựa trên lỗ hổng Social Warfare và Easy WP SMTP;
• Cả 3 cuộc tấn công đều sử dụng lỗ hổng Stored-XSS và chuyển hướng người dùng tới các website độc hại để tiến hành lừa đảo;

Do đó, kỹ thuật tấn công và quy trình khai thác cho cả 3 lỗ hổng này khả năng rất lớn đều do một tin tặc gây ra.

Kết luận và khuyến cáo người dùng

Như trường hợp xảy ra cách đây vài tuần, những hành động công bố lỗ hổng vô trách nhiệm của một người nghiên cứu về bảo mật đã tạo ra lỗ hổng Zero-day bị khai thác tràn lan. Các trường hợp này nhấn mạnh tầm quan trọng của các lớp bảo mật bao gồm cả tường lửa WordPress.

Chủ sở hữu các trang web cài đặt plugin Yuzo Related Posts được khuyến cáo gỡ bỏ ngay plugin này ít nhất là cho đến khi có bản vá sửa lỗi chính thức. Khách hàng và người dùng miễn phí của Wordfence đã được bảo vệ trước khi các cuộc tấn công xảy ra tràn lan.

Với khách hàng sử dụng phiên bản WordPress Premium, bản vá cho lỗ hổng trên sẽ được cập nhật ngay lập tức.

Với các khách hàng sử dụng bản miễn phí, thời gian chờ đợi bản cập nhật là 30 ngày.

Do đó chúng tôi khuyến cáo người dùng nên gỡ bỏ plugin trên ra khỏi website để tránh rủi ro bị tấn công.

XEM THÊM: Thống kê các cuộc tấn công mạng vào Việt Nam Quý I 2019

Cập nhật thông tin về lỗ hổng Yuzo Related, tất cả các sản phẩm của SecurityBox cung cấp đều đã được tích hợp thêm thông tin về lỗ hồng này để đảm bảo an toàn, an ninh hệ thống của khách hàng. Những đơn vị cần hỗ trợ thêm về bảo mật Yuzo Related có thể liên hệ trực tiếp với SecurityBox để được hướng dẫn cụ thể qua đầu số Hotline của SecurityBox bên dưới.

Quý khách hàng cần tư vấn hỗ trợ về dịch vụ, giải pháp hoặc sản phẩm an ninh mạng vui lòng liên hệ:

Website: https://securitybox.vn

Hotline:  092 711 8899

Email: info@securitybox.vn

Địa chỉ: Tầng 9, 459 Đội Cấn, quận Ba Đình, thành phố Hà Nội.