Tin tặc khai thác mu-Plugin WordPress để đưa thư rác và chiếm đoạt hình ảnh trang web

Tin tặc khai thác mu-Plugin WordPress để đưa thư rác và chiếm đoạt hình ảnh trang web

Mới đây, các chuyên gia an ninh mạng đã phát hiện tin tặc đang khai thác lỗ hổng trên hệ thống WordPress MU Plugins để xâm nhập và kiểm soát các trang web. 

Các tác nhân đe dọa đang sử dụng thư mục "mu-plugins" trong các trang web WordPress để che giấu mã độc với mục đích duy trì quyền truy cập từ xa liên tục và chuyển hướng khách truy cập trang web đến các trang web giả mạo. mu-plugins, viết tắt của must-use plugins, đề cập đến các plugin trong một thư mục đặc biệt ("wp-content/mu-plugins") được WordPress tự động thực thi mà không cần phải bật chúng một cách rõ ràng thông qua bảng điều khiển quản trị. Điều này cũng khiến thư mục trở thành vị trí lý tưởng để dàn dựng phần mềm độc hại.

Tin tặc lợi dụng các plugin đa trang (MU Plugins) của WordPress để cài đặt mã độc, từ đó có thể:

• Tạo cửa hậu (backdoor), giúp chúng duy trì quyền kiểm soát website.

• Chèn mã độc vào tệp hệ thống, đánh cắp dữ liệu và thực hiện các hoạt động trái phép.

• Phát tán phần mềm độc hại, gây ảnh hưởng đến người dùng truy cập trang web.

Các trang web WordPress bị tấn công cũng đang được sử dụng để triển khai JavaScript độc hại có thể chuyển hướng người truy cập đến các tên miền của bên thứ ba không mong muốn hoặc hoạt động như một công cụ thu thập thông tin để đánh cắp thông tin tài chính được nhập trên các trang thanh toán.

Hiện tại vẫn chưa biết các trang web này bị xâm phạm như thế nào, nhưng thủ phạm thường là các plugin hoặc chủ đề dễ bị tấn công, thông tin đăng nhập quản trị bị xâm phạm và cấu hình máy chủ không đúng.

Các tác nhân đe dọa đã thường xuyên khai thác bốn lỗ hổng bảo mật khác nhau trong các plugin WordPress kể từ đầu năm -

• CVE-2024-27956 (Điểm CVSS: 9,9) - Lỗ hổng thực thi SQL tùy ý chưa xác thực trong WordPress Automatic Plugin - Trình tạo nội dung AI và plugin tự động đăng bài
• CVE- 2024-25600 (Điểm CVSS: 10,0) - Lỗ hổng thực thi mã từ xa chưa xác thực trong chủ đề Bricks
• CVE-2024-8353 (Điểm CVSS: 10,0) - Lỗ hổng tiêm đối tượng PHP chưa xác thực vào lỗ hổng thực thi mã từ xa trong plugin GiveWP
• CVE-2024-4345 (Điểm CVSS: 10,0) - Lỗ hổng tải tệp tùy ý chưa xác thực trong Startklar Elementor Addons cho WordPress

Để giảm thiểu rủi ro do các mối đe dọa này gây ra, điều cần thiết là chủ sở hữu trang web WordPress phải cập nhật plugin và chủ đề, thường xuyên kiểm tra mã để phát hiện phần mềm độc hại, áp dụng mật khẩu mạnh và triển khai tường lửa ứng dụng web để chặn các yêu cầu độc hại và ngăn chặn việc đưa mã độc vào.

Hương - Theo TheHackerNews