Theo cảnh báo của hãng bảo mật Sucuri, lỗ hổng nghiêm trọng mà các nhà phát triển WordPress phát hiện cuối tuần trước đã bị tin tặc khai thác để tấn công hàng ngàn website. Khi phát hành WordPress 4.7.2 vào ngày 26/1, các nhà phát triển hệ thống quản lý nội dung (CMS) thông báo phiên bản này đã vá ba lỗ hổng mới nhất bao gồm SQL injection, cross-site scripting (XSS) và các vấn đề về kiểm soát truy nhập.
Khoảng một tuần sau đó, các nhà phát triển thừa nhận rằng phiên bản WordPress 4.7.2 còn vá một lỗ hổng khác được mô tả như một leo thang đặc quyền không xác thực và lỗ hổng cấy nội dung gây ảnh hưởng đến REST API. Tin tặc có thể khai thác lỗ hổng để thay đổi nội dung của bất kỳ một bài viết hay một trang trên trang web mục tiêu.
Lỗ hổng này được các nhà nghiên cứu của hãng bảo mật Sucuri phát hiện ra sau khi phát hành WordPress 4.7.2 một tuần, khoảng thời gian đủ để người dùng kịp vá các phiên bản đã cài đặt. Tuy nhiên, theo Sucuri, một số trang web WordPress vẫn chưa được cập nhật.
Sucuri đã phát hiện 4 chiến dịch khác nhau của tin tặc và thấy lần đầu tiên chúng khai thác lỗ hổng này trong vòng 48 giờ sau khi thông tin được công bố.
Một trong những chiến dịch này, tin tặc thay đổi nội dung của hơn 60.000 website thông qua tin nhắn. Ba chiến dịch còn lại thì hai trong số đó dường như xuất phát từ một địa chỉ IP và nhắm mục tiêu tới gần 500 trang web.
Một số trang web bị xâm hại đã lấy lại được giao diện của mình sau khi bị tin tặc thay đổi. Những trang web này đã được làm sạch và được cập nhật WordPress 4.7.2.
Trong khi những kẻ tấn công xuất hiện để thực hiện những hành vi xâm hại của chúng bằng những công cụ sẵn có (script kiddies) nhằm khuếch trương danh tiếng của chúng trên mạng thì các nhà nghiên cứu cho rằng các lỗ hổng sẽ được khai thác gia tăng đối với các công cụ tìm kiếm.
Daniel Cid, CTO và người sáng lập của Sucuri cho biết: “Thực tế đã có một vài nỗ lực khai thác lỗ hổng để đưa thêm những nội dung và hình ảnh spam vào một bài được đăng tải. Do những cơ hội kiếm tiền nên dường như đây là con đường số một để lạm dụng lỗ hổng này”.
Mạng WAF (tường lửa ứng dụng web) của công ty đã ghi nhận sự gia tăng các nỗ lực khai thác với con số đạt gần 3000 lần vào ngày thứ Hai vừa qua.
Một báo cáo gần đây của Sucuri cho thấy hơn một nửa trong số các trang web WordPress bị tấn công năm ngoái đã không được cập nhật cho đến tận thời điểm bị lây nhiễm. Theo mặc định, cài đặt WordPress được cập nhật tự động khi có một phiên bản mới, nhưng một số quản trị viên đã vô hiệu hóa tính năng này, thường vì những lo ngại rằng các bản cập nhật có thể phá vỡ các trang web của họ.
