Lợi dụng lỗ hổng CVE-2024-27956, điểm 9,9/10 trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
Plugin WP Automatic cho phép các quản trị viên tự động nhập nội dung (văn bản, hình ảnh, video) từ các nguồn trực tuyến khác nhau và xuất bản trên trang web WordPress.
Nguyên nhân tồn tại lỗ hổng xuất phát từ cơ chế xác thực người dùng của plugin, có thể bị bỏ qua để gửi các truy vấn SQL đến cơ sở dữ liệu của trang web, từ đó tin tặc tạo tài khoản quản trị viên trên trang web mục tiêu.
Kể từ khi lỗ hổng được công bố vào ngày 13 tháng 3, các nhà nghiên cứu đã ghi nhận hơn 5,5 triệu cuộc tấn công sử dụng lỗ hổng này, nhiều nhất là vào ngày 31 tháng 3.
Sau khi chiếm quyền truy cập quản trị vào trang web mục tiêu, tin tặc thường thiết lập backdoor và làm mờ mã (Obfuscated code) để tránh bị phát hiện. Chúng cũng ngăn những kẻ khác chiếm trang web (sử dụng cùng một kỹ thuật) bằng cách đổi tên tệp sang “csv.php.”. Sau khi kiểm soát được trang web, chúng cài đặt các plugin bổ sung cho phép tải lên tệp và chỉnh sửa mã.
Quản trị viên có thể kiểm tra các dấu hiệu cho thấy trang web đã bị chiếm đoạt bằng cách tìm kiếm một tài khoản quản trị bắt đầu bằng “xtw” và các tệp có tên web.php và index.php.
Người dùng plugin WP Automatic được khuyến cáo cập nhật lên phiên bản mới nhất càng sớm càng tốt và thường xuyên sao lưu trang web (backup) để khôi phục nhanh chóng dữ liệu nếu gặp rủi ro an ninh mạng.
Nguồn: White Hat
