Lỗ hổng mới trong Plugin WordPress được sử dụng bởi hơn một triệu trang web đang bị khai thác tích cực

Lỗ hổng mới trong Plugin WordPress được sử dụng bởi hơn một triệu trang web đang bị khai thác tích cực

Một lỗ hổng bảo mật đã được tiết lộ trong plugin WordPress phổ biến Essential Addons cho Elementor có khả năng bị khai thác để đạt được các đặc quyền nâng cao trên các trang web bị ảnh hưởng.

Lỗ hổng mới trong Plugin WordPress được sử dụng bởi hơn một triệu trang web đang bị khai thác tích cực

Sự cố, được theo dõi là CVE-2023-32243, đã được những người bảo trì plugin giải quyết trong phiên bản 5.7.2 được phát hành vào ngày 11 tháng 5 năm 2023. Các Addon cần thiết cho Elementor có hơn một triệu lượt cài đặt đang hoạt động.

Nhà nghiên cứu Rafie Muhammad của Patchstack cho biết: “Plugin này có lỗ hổng leo thang đặc quyền chưa được xác thực và cho phép bất kỳ người dùng chưa được xác thực nào leo thang đặc quyền của họ lên đặc quyền của bất kỳ người dùng nào trên trang web WordPress”.

Khai thác thành công lỗ hổng có thể cho phép kẻ đe dọa đặt lại mật khẩu của bất kỳ người dùng tùy ý nào miễn là bên độc hại biết tên người dùng của họ. Thiếu sót được cho là đã tồn tại từ phiên bản 5.4.0.

Điều này có thể gây ra những hậu quả nghiêm trọng vì lỗ hổng có thể được vũ khí hóa để đặt lại mật khẩu được liên kết với tài khoản quản trị viên và chiếm toàn quyền kiểm soát trang web.

"Lỗ hổng này xảy ra do chức năng đặt lại mật khẩu này không xác thực khóa đặt lại mật khẩu và thay vào đó trực tiếp thay đổi mật khẩu của người dùng nhất định," Muhammad chỉ ra.

Tiết lộ được đưa ra hơn một năm sau khi Patchstack tiết lộ một lỗ hổng nghiêm trọng khác trong cùng một plugin có thể đã bị lạm dụng để thực thi mã tùy ý trên các trang web bị xâm nhập.

Các phát hiện này cũng theo sau việc phát hiện ra một làn sóng tấn công mới nhắm mục tiêu vào các trang web WordPress kể từ cuối tháng 3 năm 2023 nhằm mục đích tiêm phần mềm độc hại SocGholish (hay còn gọi là FakeUpdates) khét tiếng.

SocGholish là một khung phần mềm độc hại JavaScript liên tục hoạt động như một nhà cung cấp quyền truy cập ban đầu để tạo điều kiện phân phối phần mềm độc hại bổ sung đến các máy chủ bị nhiễm. Phần mềm độc hại đã được phân phối thông qua các lượt tải xuống từng ổ đĩa giả dạng là một bản cập nhật trình duyệt web.

Chiến dịch mới nhất do Sucuri phát hiện đã được phát hiện tận dụng các kỹ thuật nén bằng cách sử dụng thư viện phần mềm có tên zlib để che giấu phần mềm độc hại, giảm dấu vết của nó và tránh bị phát hiện.

Nhà nghiên cứu Denis Sinegubko của Sucuri cho biết: “Những kẻ xấu liên tục phát triển các chiến thuật, kỹ thuật và quy trình của chúng để tránh bị phát hiện và kéo dài tuổi thọ của các chiến dịch phần mềm độc hại của chúng”.

"Phần mềm độc hại SocGholish là một ví dụ điển hình về điều này, vì trước đây những kẻ tấn công đã thay đổi cách tiếp cận của chúng để đưa các tập lệnh độc hại vào các trang web WordPress bị xâm nhập."

Nó không chỉ là SocGholish. Malwarebytes, trong một báo cáo kỹ thuật trong tuần này, đã trình bày chi tiết một chiến dịch quảng cáo độc hại phục vụ khách truy cập vào các trang web người lớn bằng quảng cáo bật lên mô phỏng bản cập nhật Windows giả mạo để loại bỏ trình tải "in2al5d p3in4er" (còn gọi là Máy in không hợp lệ).

Jérôme Segura, giám đốc tình báo mối đe dọa tại Malwarebytes, cho biết: “Chương trình này được thiết kế rất tốt vì nó dựa vào trình duyệt web để hiển thị hoạt ảnh toàn màn hình rất giống với những gì bạn mong đợi từ Microsoft”.

Trình tải, được Morphisec ghi lại vào tháng trước, được thiết kế để kiểm tra cạc đồ họa của hệ thống nhằm xác định xem nó đang chạy trên máy ảo hay trong môi trường hộp cát và cuối cùng khởi chạy phần mềm độc hại đánh cắp thông tin Aurora.

Chiến dịch, theo Malwarebytes, đã xác nhận 585 nạn nhân trong hai tháng qua, với tác nhân đe dọa cũng liên kết với các trò lừa đảo hỗ trợ kỹ thuật khác và bảng điều khiển và lệnh bot Amadey.

Addons cần thiết cho lỗ hổng plugin Elementor bị khai thác tích cực

Wordfence, trong lời khuyên của riêng mình, cho biết lỗ hổng nghiêm trọng trong plugin Essential Addons for Elementor đang bị khai thác tích cực và nó đã chặn 200 cuộc tấn công nhắm vào lỗ hổng trong 24 giờ qua, khiến người dùng bắt buộc phải nhanh chóng cập nhật lên phiên bản mới nhất.

Công ty bảo mật WordPress cũng lưu ý rằng phần lớn các nỗ lực khai thác bắt nguồn từ một địa chỉ IP duy nhất 78.128.60[.]112, tiếp theo là 23.224.195[.]51 và 212.113.119[.]6.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Họp báo ra mắt dòng sản phẩm chủ lực mới - Kaspersky Next, mang đến giải pháp bảo mật toàn diện cho doanh nghiệp

Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn diện các dịch vụ sản phẩm của doanh nghiệp, đánh...

Chi tiết
Standard Post with Image

Google đã ngăn chặn 2,28 triệu ứng dụng độc hại tiếp cận Play Store vào năm 2023

Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ chối hoặc khắc phục để giải quyết các vấn đề liên...

Chi tiết
Standard Post with Image

Thông báo nghỉ lễ Giải Phóng Miền Nam 30/4 và Quốc Tế Lao Động 1/5 năm 2024

Nghỉ lễ Giải Phóng Miền Nam 30/4 và Quốc Tế Lao Động 1/5 từ ngày thứ Hai 29/04/2024 đến ngày thứ Tư 01/05/2024, làm việc trở lại vào ngày Thứ Năm...

Chi tiết