Lỗ hổng trên plugin WP-Automatic bị khai thác để tạo tài khoản Admin trên các trang WordPress

- Một số đối tượng tấn công đang khai thác một lỗ hổng an toàn thông tin nghiêm trọng nhằm vào plugin ValvePress Automatic trên WordPress để chiếm quyền kiểm soát các trang web.

Lỗ hổng có mã CVE-2024-27956 (Điểm CVSS: 9.9 - Nghiêm trọng) gây ảnh hưởng cho tất cả phiên bản plugin cũ hơn 3.92.0. Hiện lỗ hổng này đã được vá trong phiên bản 3.92.1 của plugin được phát hành vào 27/02/2024, tuy nhiên, thông tin không được ghi lại trong nội dung bản vá.

Đây là lỗi SQL Injection cho phép đối tượng tấn công chiếm quyền kiểm soát website bằng cách tạo tài khoản có quyền hạn admin, tải lên các file độc hại và có thể qua đó toàn quyền kiểm soát website. Lỗ hổng này tồn tại do cơ chế xác thực người dùng của plugin có thể bị phá vỡ một cách đơn giản để thực thi các truy vấn SQL lên cơ sở dữ liệu lưu trữ website bằng các yêu cầu được nhập vào.

Trong các cuộc tấn công sử dụng lỗ hổng CVE2024-27956, đối tượng tấn công sử dụng lỗ hổng này để thực hiện các hành vi độc hại trên các trang web WordPress. Các đối tượng này có thể thực hiện các truy vấn trái phép trên cơ sở dữ liệu và tạo tài khoản admin trên các trang WordPress. Họ cũng có thể cài đặt các plugin độc hại hoặc chỉnh sửa mã nguồn để gây hại cho trang web.

Một cách phổ biến để tránh bị phát hiện là đổi tên các tệp tin bị ảnh hưởng. Ví dụ, tệp tin "/wp‑content/plugins/wp‑automatic/inc/csv.php" có thể được đổi tên thành "/wp‑content/plugins/wp‑automatic/inc/csv65f82 ab408b3.php". Hành động này cũng có thể được thực hiện để tránh sự can thiệp từ các đối tượng tấn công khác.

Lỗ hổng CVE-2024-27956 đã được WordPress công bố chi tiết vào ngày 13/03/2024, và từ đó đã ghi nhận hơn 5,5 triệu lần thử tấn công sử dụng lỗ hổng này trong thực tế.

Việc tiết lộ về việc khai thác lỗ hổng này diễn ra trong bối cảnh nhiều lỗ hổng an toàn thông tin khác cũng đã được công bố chi tiết trên các plugin khác như Email Subcriber của Icegram Express (CVE-2024-2876 - Điểm CVSS: 9.8); Forminator (CVE-2024-28890 - Điểm CVSS: 9.8); và User Registration (CVE-2024-2417 - Điểm CVSS: 8.8), có khả năng bị lợi dụng để trích xuất dữ liệu quan trọng từ cơ sở dữ liệu, tải lên các file tự do, và cấp quyền admin cho tài khoản người dung đã được xác thực.

Đồng thời, lỗ hổng CVE-2024-32514 (Điểm CVSS: 9.9) cũng được công bố bởi WordPress. Lỗ hổng này tồn tại trên plugin Poll Maker cho phép đối tượng tấn công với quyền truy cập subscriber hoặc cao hơn có thể tải lên file tùy ý vào máy chủ, qua đó cho phép đối tượng tấn công thực thi mã từ xa. Hiện lỗ hổng này vẫn chưa được vá.

Theo khuyến cáo từ Trung tâm Giám sát an toàn không gian mạng quốc gia NCSC, các đơn vị cần lưu ý theo dõi và cập nhật bản vá cho các lỗ hổng liên quan đến sản phẩm đang sử dụng. Ngoài ra, các đơn vị chủ động cập nhật các thông tin về các rủi ro an toàn thông tin mạng tại địa chỉ https://alert.khonggianmang.vn.