Hacker truy tìm lỗ hổng Plugin Wordpress - liệu có tìm thấy?

01-11-2022

Một cuộc tấn công quy mô mở rộng trên toàn thế giới, gần 1,6 triệu trang web WordPress bị quét

Một cuộc tấn công quy mô mở rộng trên toàn thế giới, gần 1,6 triệu trang web WordPress bị quét. Mục đích của đợt tấn công này là để tìm ra lỗ hổng plugin từ đó xâm nhập vào hệ thống. Hacker đã phát hiện ra một plugin mang tên Kaswara Modern WPBakery Page Builder, một plugin đã bị đội ngũ phát triển "bỏ rơi" trước khi nhận được bản vá cho lỗ hổng nghiêm trọng đang được theo dõi với mã CVE-2021-24284.

Kaswara Modern WPBakery Page Builder

Kaswara Modern WPBakery Page Builder tạo cơ hội cho các hacker truyền mã độc vào các trang web có sử dụng phiên bản Plugin này mà không phải xác thực. Sau khi đã tiêm mã độc thành công thì chúng thực hiện hành vi như tải lên và xóa file, người dùng sẽ mất hoàn toàn quyền kiểm soát, điều khiển trang web của mình.

Gần 1,6 triệu trang web Wordpress bị tấn công

Một điều an tâm là trong số gần 1,6 triệu trang web bị tấn công thì chỉ có một phần nhỏ sử dụng plugin này. Vậy nên những trang web còn lại sẽ không bị tấn công. Nhưng không vì vậy mà người dùng mất cảnh giác, vì các nhà nghiên cứu tại Defiant cũng cho biết, trung bình mỗi ngày có gần nửa triệu lần tấn công vào các trang web để tìm ra lỗ hổng.

Hành vi của các cuộc tấn công đều yêu cầu người dùng ĐĂNG(POST) tới ”wp-admin/admin-ajax/php”, lợi dụng sơ hở của plugin để tải lên payload ZIP độc hại có chứa file PHP.

Một số tệp mà hacker sử dụng cho các payload ZIP độc hại gồm: "injection.zip", "king_zip.zip", "null.zip", "plugin.zip" và "***_young.zip".

Nếu thấy sự hiện diện của các tệp trên hoặc chuỗi ";if(ndsw==" trong bất kỳ tệp Javascript nào của bạn thì có nghĩa là trang web của bạn đã bị tấn công.

Lời khuyên dành cho người dùng là không sử dụng plugin Kaswara Modern WPBakery Page Builder và chặn địa chỉ IP lạ.