Các plugin trên WordPress.org bị cài cắm backdoor trong cuộc tấn công chuỗi cung ứng

0
0

 - Tin tặc đã sửa đổi mã nguồn của ít nhất 05 plugin được lưu trữ trên WordPress.org để thêm vào các tập lệnh PHP độc hại cho phép tạo tài khoản mới với đặc quyền quản trị trên các trang web sử dụng chúng.

Nhóm Wordfence Threat Intelligence đã phát hiện ra cuộc tấn công vào ngày hôm thứ Hai, nhưng các vụ xâm nhập độc hại dường như đã xảy ra vào cuối tuần trước, từ ngày 21 đến ngày 22/6.

 

Wordfence đã thông báo cho các nhà phát triển plugin ngay sau khi phát hiện ra vụ vi phạm. Các bản vá đã được phát hành trong cùng ngày cho hầu hết các sản phẩm.

05 plugin bị ảnh hưởng, đã được cài đặt trên hơn 35.000 trang web, bao gồm:

- Social Warfare 4.4.6.4 đến 4.4.7.1 (đã được khắc phục trong phiên bản 4.4.7.3)

- Blaze Widget 2.2.5 đến 2.5.2 (đã được khắc phục trong phiên bản 2.5.4)

- Phần tử liên kết Wrapper 1.0.2 đến 1.0.3 (đã được khắc phục trong phiên bản 1.0.5)

- Contact Form 7 Multi-Step Addon 1.0.4 đến 1.0.5 (đã được khắc phục trong phiên bản 1.0.7)

- Simply Show Hooks 1.2.1 đến 1.2.2 (chưa có bản vá lỗi)

Wordfence vẫn đang điều tra để làm rõ cách mà kẻ tấn công truy cập vào mã nguồn của plugin. Cuộc tấn công có thể ảnh hưởng đến số lượng plugin WordPress lớn hơn, nhưng bằng chứng hiện tại cho thấy sự xâm phạm chỉ giới hạn ở 05 plugin trên.

Hoạt động của backdoor và IoC

Mã độc trong các plugin bị xâm phạm cố gắng tạo tài khoản quản trị viên mới và đưa SEO spam (thêm các nội dung hoặc liên kết không mong muốn vào trang web nhằm thao túng kết quả tìm kiếm) vào trang web bị xâm nhập.

Wordfence cho biết rằng: “Ở giai đoạn này, chúng tôi nhận thấy phần mềm độc hại được chèn vào sẽ cố gắng tạo một tài khoản quản trị viên mới và sau đó gửi những thông tin đó đến máy chủ do kẻ tấn công kiểm soát”.

Các nhà nghiên cứu cho biết dữ liệu được gửi đến địa chỉ IP 94.156.79[.]8, trong khi các tài khoản quản trị viên được tạo tùy ý được đặt tên là “Options” và “PluginAuth”.

Chủ sở hữu trang web nhận thấy các tài khoản hoặc lưu lượng truy cập đến địa chỉ IP trên nên thực hiện rà quét phần mềm độc hại và loại bỏ hoàn toàn chúng.

“Nếu bạn đã cài đặt bất kỳ plugin nào trong số này, bạn nên xem xét bản cài đặt của mình liệu có bị xâm phạm và ngay lập tức chuyển sang chế độ ứng cứu sự cố” – Wordfence.

Wordfence lưu ý thêm rằng một số plugin bị ảnh hưởng đã tạm thời bị xóa khỏi WordPress.org, điều này có thể khiến người dùng nhận được cảnh báo ngay cả khi họ sử dụng phiên bản vá lỗi.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.