Mới đây, các chuyên gia về bảo mật đã phát hiện ra việc tin tặc đang lợi dụng khai thác một cặp lỗ hổng bảo mật quan trọng trong những plugin chia sẻ phương tiện truyền thông xã hội phổ biến để kiểm soát các trang web WordPress vẫn đang chạy phiên bản plugin Social Warfare.
Plugin Social Warfare là một plugin WordPress phổ biến và được triển khai rộng rãi với hơn 900.000 lượt tải xuống. Nó được sử dụng để thêm các nút chia sẻ xã hội vào một trang web hoặc blog WordPress.
Tin tặc khai thác các lỗ hổng này để chạy mã PHP tùy ý và kiểm soát hoàn toàn các trang web và máy chủ mà không cần xác thực, sau đó sử dụng các trang bị xâm nhập để thực hiện khai thác tiền kỹ thuật số hoặc lưu trữ mã khai thác độc hại.
Cùng ngày khi Social Warfare phát hành phiên bản vá của plugin, một nhà nghiên cứu bảo mật giấu tên đã công bố một thông tin đầy đủ và một bằng chứng về khái niệm về lỗ hổng XSS (Cross-Site Scripting) được lưu trữ.
Ngay sau khi tiết lộ đầy đủ về lỗ hổng bảo mật và phát hành PoC, những kẻ tấn công bắt đầu cố gắng khai thác lỗ hổng, nhưng may mắn thay, nó chỉ giới hạn ở hoạt động chuyển hướng JavaScript được thêm, và các nhà nghiên cứu không tìm thấy nỗ lực nào trong việc khai thác lỗ hổng RCE.
Các nhà nghiên cứu của Palo Alto Network Unit 42 đã tìm thấy một số khai thác lợi dụng các lỗ hổng này trong tự nhiên, bao gồm khai thác lỗ hổng RCE cho phép kẻ tấn công kiểm soát trang web bị ảnh hưởng và khai thác lỗ hổng XSS chuyển hướng nạn nhân đến trang web quảng cáo .
Mặc dù cả hai lỗ hổng đều bắt nguồn do xử lý đầu vào không đúng, sử dụng một chức năng sai, không đủ cuối cùng đã giúp những kẻ tấn công từ xa có thể khai thác chúng mà không yêu cầu bất kỳ xác thực nào.
“Nguyên nhân sâu xa của mỗi hai lỗ hổng này là do việc sử dụng sai hàm is_admin () trong WordPress”, các nhà nghiên cứu cho biết trong một bài đăng trên blog . “Is_admin chỉ kiểm tra nếu trang được yêu cầu là một phần của giao diện quản trị viên và sẽ không ngăn chặn bất kỳ lượt truy cập trái phép nào.”
Tại thời điểm này đã có hơn 37.000 trang web WordPress trong số 42.000 trang web đang hoạt động, bao gồm trang web giáo dục, tài chính và tin tức vẫn đang sử dụng phiên bản plugin dễ bị lỗi thời của Social Warfare, khiến hàng trăm hàng triệu du khách của họ có nguy cơ bị hack thông qua các vectơ khác nhau.
Kẻ tấn công sẽ tiếp tục khai thác các lỗ hổng để nhắm mục tiêu đến người dùng WordPress, nên các quản trị viên trang web rất khuyến khích cập nhật plugin Social Warfare lên phiên bản 3.5.3 hoặc mới hơn càng sớm càng tốt.