Plugin WordPress cũ bị khai thác tấn công thực thi mã từ xa

Các nhà nghiên cứu phát hiện ra Duplicator – Một Plugin WordPress cũ bị khai thác tiến hành tấn công thực thi mã từ xa các trang web theo 1 thông báo từ phần mềm kaspersky bảo vệ đa năng

Các nhà nghiên cứu cảnh báo rằng tin tặc có thể đang lợi dụng một lỗ hổng trong phiên bản cũ của plugin WordPress cũ bị khai thác tên là Duplicator để thực thi mã từ xa.

​

Plugin này là sản phẩm của Snap Creek Software. Các phiên bản plugin cũ hơn 1.2.42 đều chịu lỗ hổng tấn công này. Như tên gọi, plugin WordPress này hỗ trợ việc chuyển trang web bằng cách cho phép quản trị viên sao lại trang web đó.


Các nhà nghiên cứu tại Synacktiv cho biết: “Plugin WordPress Duplicator không loại bỏ các tập tin nhạy cảm sau quá trình sao lưu trang web. Hai tập installer.php và installer-backup.php có thể bị sử dụng lại sau quá trình sao lưu để chèn mã PHP độc hại vào tập wp-config.php. Vì thế, tin tặc có thể lợi dụng đoạn mã này để thực thi mã tùy ý trên máy chủ và chiếm quyền máy chủ.


Thứ 6 vừa qua, các nhà nghiên cứu tại Sucuri cho biết số lượng các vụ việc tin tặc vô hiệu hóa trang WordPress bằng cách xóa hoặc viết lại tập wp-config.php đã tăng lên.


“Những trường hợp này đều liên quan đến cùng một plugin WordPress cũ bị khai thác: Plugin Duplicator, ”Peter Gramantik – một nhà nghiên cứu phần mềm độc hại của Sucuri. “Để loại bỏ nguy cơ tấn công, bạn có thể kiểm tra thư mục gốc của trang web và xóa tập installer.php. Đây không phải là tập tin trang web quan trọng và chỉ là phần sót lại sau khi di chuyển trang web.”


Gramantik nói rằng Creek Snap Software đã giải quyết một lỗ hổng CSS tương tự (CVE-2017-16815) ảnh hưởng đến phiên bản 1.2.30, được báo cáo hồi tháng 11 năm 2017.


Một cảnh báo bổ sung được Wordfense phát hành đầu tháng này. Các chuyên gia có lưu ý rằng các lỗi không tự xuất hiện trong thư mục plugin Duplicator. “Lỗ hổng hình thành khi sử dụng Duplicator để di chuyển hoặc khôi phục lại một bản sao đã sao lưu của một trang WordPress”.


“Chúng tôi cũng phát hiện những kẻ tấn công cung cấp các thông tin đăng nhập cơ sở dữ liệu từ xa để kết nối các trang WordPress dưới sự kiểm soát của kẻ tấn công. Từ đó, kẻ tấn công có thể đăng nhập bằng tài khoản quản trị riêng và tải lên một plugin độc hại hoặc các chủ đề để phá hoại các trang web.”


Lỗ hổng này chỉ xuất hiện khi plugin Duplicator đã được sử dụng, rất khó để ước tính có bao nhiêu trang web bị ảnh hưởng bởi lỗi này. Theo số liệu của Snap Creek Software, plugin WordPress cũ bị khai thác này đã được cài đặt 1 triệu lần. Các chuyên gia cho biết chỉ một phần nhỏ trong số những người dùng Duplicator để di chuyển trang web mới bị ảnh hưởng.


Các nhà nghiên cứu tại Sucuri lưu ý rằng số người dùng bị ảnh hưởng có thể tiếp tục giảm xuống bởi trên thực tế người dùng bị ảnh hưởng phải có những điều kiện sau:


Tập installer.php phải được tạo ra bởi plugin Duplicator;

Tập installer.php phải sót lại trong tệp gốc của trang web;

Bản cài đặt phải cũ hơn bản 1.2.42.