Lỗ hổng bảo mật mới trên WordPress khiến 300.000 website bị khai thác

Lỗ hổng WordPress mới được gán mã định danh CVE-2023-39157, có điểm nguy hiểm CVSS là 9.0, là một rủi ro nghiêm trọng cho các website chạy trên nền tảng WordPress.

Nguyên nhân khiến 300.000 website bị khai thác

Theo securityonline, một lỗ hổng nghiêm trọng đã được phát hiện trong JetElements For Elementor trên nền tảng WordPress cho phép kẻ tấn công thực thi mã tùy ý trên website mục tiêu. JetElements là một tiện ích bổ sung (plugin) được đánh giá cao dành cho Elementor, cung cấp hơn 40 tiện ích để tạo và quản lý nội dung website một cách linh hoạt. Người dùng plugin có thể thêm các khối nội dung khác nhau bằng chức năng JetElements.

Sự phổ biến của nền tảng WordPress cũng đã thu hút nhiều nhà phát triển viết plugin nhằm phục vụ nhu cầu của những blogger và thậm chí các doanh nghiệp. Với cơ sở người dùng đang hoạt động khoảng 300.000 website, mức độ phổ biến của plugin cũng đồng nghĩa khả năng thiệt hại cao khi xuất hiện lỗ hổng.

Lỗ hổng RCE là gì?

RCE là viết tắt của Remote Code Execution, dịch ra tiếng Việt là Thực thi mã từ xa. RCE là kỹ thuật tấn công mạng của hacker dựa vào lỗ hổng hoặc sơ hở nào đó của hệ thống để truy cập từ xa vào máy tính hoặc mạng máy tính của nạn nhân. Từ đó, hacker có thể thực thi các mã độc, phần mềm độc hại trên thiết bị của nạn nhân mà không cần tiếp xúc trực tiếp với thiết bị.

Lỗ hổng RCE cho phép thành viên của website với vai trò tối thiểu là “Người đóng góp” (contributor), thực hiện các thao tác thực thi hàm PHP tùy ý, dẫn đến cuộc tấn công thực thi mã mạnh.

Nhà nghiên cứu từ Patchstack đã phát hiện ra lỗi này. Theo các chuyên gia bảo mật, lỗ hổng CVE-2023-39157 sẽ giúp kẻ tấn công chạy lệnh, thiết lập cửa hậu và cuối cùng chiếm toàn quyền kiểm soát website mục tiêu.

Theo phân tích, lỗ hổng tồn tại trong một hàm render_meta của plugin, cho phép kẻ tấn công cài vào hệ thống PHP hoặc hàm chức năng để đặt lại khóa. Để kích hoạt, người dùng có đặc quyền phải xuất bản một bài đăng nháp, lúc này sẽ kích hoạt mã khai thác.

Ví dụ về lỗ hỏng RCE (thực thi mã từ xa)

Một ví dụ về lỗ hổng thực thi mã từ xa là lỗ hổng CVE-2018-8248 – một trong số những lỗ hổng bảo mật được Microsoft sửa trong bản cập nhật bảo mật ngày 12 tháng 6. Lỗ hổng CVE-2018-8248 hay còn được gọi là lỗ hổng thực thi mã từ xa Microsoft Excel, cho phép kẻ tấn công chạy phần mềm độc hại trên các máy tính yếu.

Kẻ tấn công CVE-2018-8248 có khả năng kiểm soát hoàn toàn máy tính bị xâm nhập nếu chủ sở hữu máy tính đó đăng nhập vào máy tính có quyền quản trị. Lúc này, kẻ tấn công khả năng xem, thay đổi ngay hoặc xóa dữ liệu, cài đặt chương trình, hoặc tạo tài khoản mới với đầy đủ quyền người dùng.

Theo Microsoft, tác nhân gây ra lỗ hổng CVE-2018-8248 khả năng có thể là do việc tạo email độc hại có tệp đính kèm chứa tệp được thiết kế đặc biệt kèm theo phiên bản Microsoft Excel lỗi. Khả năng khác là tấn công website. Theo đó kẻ tấn công làm chủ một trang web hoặc trang web bị xâm nhập lưu lại nội dung do người dùng cung cấp có chứa tệp thiết kế đặc biệt được tạo riêng để khai thác lỗ hổng CVE-2018-8248.

JetElements là gì?

JetElements là plugin mở rộng tính năng cho Elementor, cung cấp trên 40 tiện ích (widget) để tạo và quản lý nội dung trang web một cách linh hoạt. Hiện có khoảng 300.000 máy chủ web dùng plugin này trên toàn thế giới đủ thấy mức độ phổ biến của nó.

Hướng dẫn khắc phục lỗ hổng bảo mật JetElements for Elementor

Hiện lỗ hổng CVE-2023-39157 đã được xử lý trong JetElements for Elementor phiên bản 2.6.11. Người dùng nên cập nhật phiên bản mới nhất của plugin càng sớm càng tốt, đồng thời dùng các plugin bảo mật dành cho WordPress để quét tìm lỗi trên website, triển khai mật khẩu mạnh và xác thực hai yếu tố, cũng như sao lưu thường xuyên

• Người dùng cần tuân thủ các khuyến cáo sau để bảo vệ các website khỏi các lỗ hổng:
• Thường xuyên cập nhật phần mềm và các plugin
• Sử dụng các plugin an toàn để quét các website khỏi lỗ hổng
• Dùng mật khẩu mạnh và đặt xác thực 2 yếu tố
• Định kỳ sao lưu website\

Cảm ơn các bạn đã đọc tin từ ANHLINHMKT