Một lỗ hổng bảo mật nghiêm trọng mới được phát hiện trên mã nguồn WordPress, đây là nền tảng xây dựng website phổ biến được nhiều người sử dụng trên toàn thế giới, theo thông tin vừa được thông báo, với lỗ hổng này tin tặc có thể khai thác chiếm quyền điều khiến máy chủ và triển khai các hoạt động trái phép có thể gây ảnh hưởng nghiêm trọng đến các hoạt động kinh doanh của doanh nghiệp.
Thông tin lỗ hổng bảo mật plugin code snippets
VINASTAR gửi thông tin cảnh báo về lỗ hổng bảo mật nghiêm trọng CVE-2020-8417 Cross-site request forgery (CSRF) trên plugin Code Snippets của nền tảng WordPress, giúp tin tặc tiếp cận để chiếm quyền quản trị website để thực hiện các mã lệnh điều khiển từ xa.
Lỗ hổng CSRF này được phát hiện vào đầu tháng 2/2020, được gắn mã CVE là CVE-2020-8417, một loại mã để định danh các lỗ hổng bảo mật được phát hiện trong các sản phẩm công nghệ phổ biến trên thế giới, được cung cấp bởi MITRE – một đơn vị được bảo trợ bởi Cơ quan An ninh nội địa Mỹ.
Để khai thác lỗ hổng này, hacker sẽ tạo đường link chứa mã khai thác và lừa người quản trị truy cập đường link đó. Khi người quản trị truy cập vào đường link này lúc đang đăng nhập vào WordPress, một tài khoản quản trị xấu sẽ được thêm vào hệ thống quản trị website mà người dùng không được thông báo. Từ đây, tin tặc thực hiện xóa quyền quản trị của nạn nhân, thêm vào đó tiến hành thay đổi toàn bộ thông tin website.
Tiếp theo, sau khi đã thu được tài khoản này, tin tặc sẽ thực thi mã lệnh từ xa (RCE) qua chức năng chỉnh sửa mã nguồn của WordPress nhằm chiếm quyền điều khiển máy chủ, qua đó hacker có thể thực hiện những cuộc tấn công gián điệp đối với các thiết bị và máy chủ thuộc cùng mạng nội bộ với máy chủ bị tấn công.
Theo thông tin chúng tôi cập nhật được thì toàn bộ Code Snippets trước phiên bản 2.14.0 đều bị ảnh hưởng, vì vậy chúng tôi khuyến cáo toàn bộ khách hàng nếu đang sử dụng plugins này thì cần phải thực hiện nâng cấp lên bản vá mới nhất để hạn chế nguy cơ bị khai thác tấn công.
Để tránh trở thành nạn nhân bị hacker lợi dụng lỗ hổng mới trên WordPress tấn công chiếm quyền điều khiển website, VINASTAR khuyến nghị quản trị viên của các website cần cân nhắc trước khi truy cập những đường link lạ, trang bị đủ kiến thức an toàn thông tin. Đặc biệt, cần cập nhật ngay phiên bản plugin Code Snippets mới nhất để khắc phục lỗ hổng này.
WordPress là một mã nguồn mở bằng ngôn ngữ PHP để hỗ trợ xây dựng và phát triển website, đây là nền tảng phổ biến vì dễ sử dụng, nhiều tính năng hữu ích mà nổi bật là Code Snippets – tính năng mở rộng rất tiện ích trên WordPress giúp chèn trực tiếp các đoạn mã vào các tập tin giao diện. Hiện nay, trên thế giới, ước tính có hơn 70% website sử dụng CMS là WordPress, trong đó có khoảng 200.000 website cài đặt Code Snippets. Riêng tại Việt Nam, hiện có khoảng 50% website đang sử dụng nền tảng WordPress.
VINASTAR trân trọng thông báo!
Nguồn bài viết được sưu tầm trên internet
