Theo các nhà nghiên cứu bảo mật gần đây đã phát hiện ra một chiến dịch tấn công quy mô lớn. Trong chiến dịch này, Hacker đã tiến hành ra quét gần 1.6 triệu website có mã nguồn WordPress để tìm lỗ hổng plugin dễ bị tấn công, cho phép tải file lên mà không cần xác thực.
Lỗ hổng plugin gây nguy cơ website bị hack
Hiện tại Hacker đang nhắm mục tiêu vào Kaswara Modern – WPBakery Page Builder, được biết đây là một plugin đã bị đội ngũ phát triển “bỏ rơi” trước khi nhận được bản vá cho lỗ hổng nghiêm trọng, đang được theo dõi với mã CVE-2021-24284.
Lỗ hổng plugin này sẽ cho phép kẻ tấn công đưa mã javascript độc hại vào các website có sử dụng bất kì phiên bản plugin Kaswara Modern WPBakery Page Builder nào mà không cần xác thực. Sau đó, chúng có thể thực hiện những hành vi như tải lên và xoá file, từ đó dẫn tới việc chiếm hoàn toàn quyền điều khiển website.
Plugin Kaswara Modern WPBakery Page Builder tạo cơ hội cho các hacker truyền mã độc vào những website có sử dụng phiên bản plugin này mà không phải xác thực. Sau khi đã truyền mã độc htành công thì chúng thực hiện hành vi như tải lên hoặc xoá file, người dùng sẽ mất hoàn toàn quyền kiểm soát và điều khiển website của mình.
Quy mô và các thức hành động của chiến dịch
Mặc dù quy mô của chiến dịch gần 1,6 triệu website WordPress bị tấn công. Tuy vậy một điều an tâm là trong số gần 1,6 triệu website bị tấn công thì chỉ có một phần nhỏ là sử dụng plugin này. Vậy nên những website con lại sẽ không bị tấn công. nhưng không vì vậy mà chúng ta mất cảnh giác, vì theo các nhà nghiên cứu tại Defiant cũng cho biết, trung bình mỗi ngày cá gần nửa triệu lần tấn công vào các website để tìm ra các lỗ hổng plugin.
Những kẻ tấn công gửi yêu cầu Đăng (POST) tới “wp-admin/admin-ajax/php”.cố gắng sử dụng chức năng AJAX “uploadFonticon” của plugin để tải lên playload ZIP độc hại chứa một file PHP.
Sau khi được tải lên, tập này tìm nhập trojan NDSW, đưa code vào các tệp javascript hợp pháp có thể trên trang với mục tiêu chuyển hướng khách truy cập đến các điểm đến độc hại nhưng các website lừa đảo hoặc các trang tải phần mềm độc hại.
Một số tệp mà hacker sử dụng cho các payload ZIP dộc hại gồm “injection.zip“,”king_zip.zip“, “null.zip”,”plugin.zip” và “***_young.zip“.
Nếu thấy sự hiện diện của các tệp trên hoặc chuỗi “;if(ndsw==” trong bất kỳ tên file Javascript nào của bạn thì có nghĩa là website của bạn đã bị tấn công.
Kết luận
Lời khuyên dành cho mọi người dùng là không sử dụng plugin Kaswara Modern WPBakery Page Builder và chặn địa chỉ IP lạ. Để tránh bị khai thác lỗ hổng plugin, hoặc những việc đáng tiếc sảy đến với website của bạn trong tương lai, hy vọng bài viết sẽ cho bạn biết thêm về cách thức cũng như hành động của các tin tặc trên internet. Chúc các bạn một ngày tốt lành.
Tìm hiểu thêm: Danh sách Plugin Nguy hiểm
