Các tập lệnh độc hại và cửa hậu nhắm vào các lỗ hổng nghiêm trọng của plugin WordPress

Fastly cảnh báo một làn sóng tấn công mạng mới đang khai thác các lỗ hổng trong ba plugin WordPress được sử dụng rộng rãi, đưa các tập lệnh độc hại và cửa hậu vào các trang web. Những lỗ hổng nghiêm trọng này cho phép kẻ tấn công thực hiện các cuộc tấn công tập lệnh chéo trang (XSS) được lưu trữ không được xác thực, tạo điều kiện cho việc tạo tài khoản quản trị viên WordPress trái phép, chèn các cửa hậu PHP vào các tệp plugin và chủ đề cũng như thiết lập tập lệnh theo dõi để giám sát các trang web bị xâm nhập.

Fastly đã quan sát thấy một số lượng đáng kể các nỗ lực khai thác bắt nguồn từ các IP được liên kết với IP Volume Inc. của Hệ thống tự động (AS). Các plugin bị ảnh hưởng bao gồm WP Stats, WP Meta SEO và LiteSpeed Cache, ảnh hưởng đến hàng triệu lượt cài đặt đang hoạt động.

Lỗ hổng thống kê WP: CVE-2024-2194

Lỗ hổng đầu tiên ảnh hưởng đến plugin WP Statistic, plugin có hơn 600.000 lượt cài đặt đang hoạt động. Được theo dõi là CVE-2024-2194, lỗ hổng này cho phép kẻ tấn công chèn tập lệnh thông qua tham số tìm kiếm URL. Được tiết lộ vào tháng 3, nó ảnh hưởng đến các phiên bản 14.5 trở về trước. Các tập lệnh được chèn sẽ thực thi bất cứ khi nào người dùng truy cập vào một trang bị nhiễm, với những kẻ tấn công thêm tham số 'utm_id' vào các yêu cầu để đảm bảo tải trọng xuất hiện trên các trang được truy cập nhiều nhất.

Lỗ hổng WP Meta SEO: CVE-2023-6961

Lỗ hổng thứ hai, CVE-2023-6961, ảnh hưởng đến plugin WP Meta SEO, với hơn 20.000 lượt cài đặt đang hoạt động. Lỗi này cho phép kẻ tấn công chèn tải trọng vào các trang tạo ra phản hồi 404. Khi quản trị viên tải một trang như vậy, tập lệnh sẽ tìm nạp mã JavaScript bị xáo trộn từ máy chủ từ xa. Nếu quản trị viên được xác thực, tải trọng có thể lấy cắp thông tin đăng nhập của họ.

Lỗ hổng bộ đệm LiteSpeed: CVE-2023-40000

Lỗ hổng thứ ba, CVE-2023-40000, nhắm vào plugin LiteSpeed Cache, có hơn 5 triệu lượt cài đặt đang hoạt động. Những kẻ tấn công ngụy trang tải trọng XSS dưới dạng thông báo của quản trị viên, kích hoạt tập lệnh khi quản trị viên truy cập vào trang phụ trợ. Điều này cho phép tập lệnh thực thi bằng thông tin xác thực của quản trị viên cho các hành động độc hại tiếp theo.

Cuộc điều tra của Fastly đã xác định được 5 miền được tham chiếu trong các tải trọng độc hại, cùng với 2 miền bổ sung được sử dụng để theo dõi, ít nhất một trong số đó trước đây có liên quan đến việc khai thác các plugin WordPress dễ bị tấn công. Quản trị viên trang web sử dụng các plugin bị ảnh hưởng nên cập nhật lên phiên bản mới nhất ngay lập tức và theo dõi trang web của họ xem có bất kỳ hoạt động đáng ngờ nào không.