Phát hiện lỗ hổng nghiêm trọng trong plugin WordPress của 400.000 website

22:55 | 26/01/2020
T.U

Mới đây, các lỗ hổng nghiêm trọng trong 3 plugin WordPress đã được các chuyên gia phát hiện. Các plugin này bao gồm InfiniteWP, WP Time Capsule và WP Database Reset đã được cài đặt trên tổng cộng 400.000 website.

Lỗ hổng ảnh hưởng nhiều nhất là lỗ hổng vượt qua xác thực trong InfiniteWP Client. Plugin này được cài đặt trên hơn 300.000 trang web, cho phép quản trị viên quản lý nhiều trang web từ một máy chủ đơn lẻ. Lỗ hổng này cho phép bất cứ ai có thể đăng nhập vào tài khoản quản trị mà không cần thông tin xác thực. Từ đó, kẻ tấn công có thể xóa nội dung, thêm tài khoản mới và thực hiện một loạt các hành vi độc hại khác.

Để khai thác lỗ hổng này, tin tặc chỉ cần biết tên người dùng của một tài khoản hợp lệ và thêm vào đó một payload độc hại trong yêu cầu POST được gửi đến trang web bị ảnh hưởng. Theo nhà cung cấp tường lửa ứng dụng web Wordfence (Mỹ), lỗ hổng bắt nguồn từ một tính năng cho phép người dùng hợp pháp tự động đăng nhập với vai trò quản trị viên mà không cần cung cấp mật khẩu.

Marc-Alexandre Montpas, nhà nghiên cứu tại công ty bảo mật web Sucuri (Mỹ) đã viết trong một bài đăng: “Các lỗ hổng logic như những lỗ hổng được phát hiện mới đây có thể dẫn đến vấn đề nghiêm trọng đối với ứng dụng và thành phần web. Những lỗ hổng này có thể bị khai thác để vượt qua kiểm soát xác thực. Trong trường hợp này là đăng nhập vào tài khoản quản trị viên mà không cần mật khẩu”. Người dùng sử dụng InfiniteWP Client phiên bản 1.9.4.4 trở về trước cần cập nhật lên phiên bản 1.9.4.5 càng sớm càng tốt.

Lỗ hổng nghiêm trọng trong WP Time Capsule cũng dẫn đến vượt qua xác thực, cho phép tin tặc đăng nhập với vai trò quản trị viên mà không cần xác thực. WP Time Capsule được sử dụng trên khoảng 20.000 website, được thiết kế để sao lưu dữ liệu trang web một cách dễ dàng hơn. Bằng cách thêm vào chuỗi độc hại trong yêu cầu POST, tin tặc có thể lấy được danh sách tất cả các tài khoản quản trị và tự động đăng nhập vào tài khoản đầu tiên. Lỗ hổng đã được vá trong phiên bản 1.21.16. Các website cần cập nhật ngay phiên bản mới của plugin này.

Plugin bị ảnh hưởng cuối cùng là WP Database Reset, được cài đặt trên khoảng 80.000 website. Trong đó, có một lỗ hổng cho phép tin tặc có thể thiết lập lại bất kỳ bảng nào trong cơ sở dữ liệu về trạng thái WordPress ban đầu mà không cần xác thực. Lỗ hổng xảy ra do các chức năng thiết lập lại không được đảm bảo an toàn bởi các kiểm tra tiêu chuẩn hoặc các biện pháp bảo mật. Khai thác này có thể dẫn đến việc mất hoàn toàn dữ liệu hoặc thiết lập lại website về cài đặt mặc định của WordPress.

Lỗ hổng bảo mật thứ hai trong WP Database Reset là lỗ hổng leo thang đặc quyền, cho phép bất kỳ người dùng xác thực nào kể cả những người dùng có quyền hệ thống tối thiểu, giành được quyền quản trị và khóa tất cả người dùng khác. Quản trị viên của những website có sử dụng plugin này cần cập nhật lên phiên bản 3.15 để vá cả hai lỗ hổng.

Hiện vẫn chưa có bằng chứng nào cho thấy các plugin này đã bị khai thác trong thực tế.