Các plugin trên WordPress.org bị cài cắm backdoor trong cuộc tấn công chuỗi cung ứng

- Tin tặc đã sửa đổi mã nguồn của ít nhất 05 plugin được lưu trữ trên WordPress.org để thêm vào các tập lệnh PHP độc hại cho phép tạo tài khoản mới với đặc quyền quản trị trên các trang web sử dụng chúng.

Nhóm Wordfence Threat Intelligence đã phát hiện ra cuộc tấn công vào ngày hôm thứ Hai, nhưng các vụ xâm nhập độc hại dường như đã xảy ra vào cuối tuần trước, từ ngày 21 đến ngày 22/6.

Wordfence đã thông báo cho các nhà phát triển plugin ngay sau khi phát hiện ra vụ vi phạm. Các bản vá đã được phát hành trong cùng ngày cho hầu hết các sản phẩm.

05 plugin bị ảnh hưởng, đã được cài đặt trên hơn 35.000 trang web, bao gồm:

- Social Warfare 4.4.6.4 đến 4.4.7.1 (đã được khắc phục trong phiên bản 4.4.7.3)

- Blaze Widget 2.2.5 đến 2.5.2 (đã được khắc phục trong phiên bản 2.5.4)

- Phần tử liên kết Wrapper 1.0.2 đến 1.0.3 (đã được khắc phục trong phiên bản 1.0.5)

- Contact Form 7 Multi-Step Addon 1.0.4 đến 1.0.5 (đã được khắc phục trong phiên bản 1.0.7)

- Simply Show Hooks 1.2.1 đến 1.2.2 (chưa có bản vá lỗi)

Wordfence vẫn đang điều tra để làm rõ cách mà kẻ tấn công truy cập vào mã nguồn của plugin. Cuộc tấn công có thể ảnh hưởng đến số lượng plugin WordPress lớn hơn, nhưng bằng chứng hiện tại cho thấy sự xâm phạm chỉ giới hạn ở 05 plugin trên.

Hoạt động của backdoor và IoC

Mã độc trong các plugin bị xâm phạm cố gắng tạo tài khoản quản trị viên mới và đưa SEO spam (thêm các nội dung hoặc liên kết không mong muốn vào trang web nhằm thao túng kết quả tìm kiếm) vào trang web bị xâm nhập.

Wordfence cho biết rằng: “Ở giai đoạn này, chúng tôi nhận thấy phần mềm độc hại được chèn vào sẽ cố gắng tạo một tài khoản quản trị viên mới và sau đó gửi những thông tin đó đến máy chủ do kẻ tấn công kiểm soát”.

Các nhà nghiên cứu cho biết dữ liệu được gửi đến địa chỉ IP 94.156.79[.]8, trong khi các tài khoản quản trị viên được tạo tùy ý được đặt tên là “Options” và “PluginAuth”.

Chủ sở hữu trang web nhận thấy các tài khoản hoặc lưu lượng truy cập đến địa chỉ IP trên nên thực hiện rà quét phần mềm độc hại và loại bỏ hoàn toàn chúng.

“Nếu bạn đã cài đặt bất kỳ plugin nào trong số này, bạn nên xem xét bản cài đặt của mình liệu có bị xâm phạm và ngay lập tức chuyển sang chế độ ứng cứu sự cố” – Wordfence.

Wordfence lưu ý thêm rằng một số plugin bị ảnh hưởng đã tạm thời bị xóa khỏi WordPress.org, điều này có thể khiến người dùng nhận được cảnh báo ngay cả khi họ sử dụng phiên bản vá lỗi.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)