Lỗ hổng nguy cấp trong thẻ quà tặng Plugin WordPress bị khai thác
Nhóm Wordfence của Defia (công ty phát triển các plugin bảo mật Wordfence) cảnh báo về một lỗ hổng nguy cấp trong các thẻ ưu đãi YITH WooCommerce Gift Cards của plugin WordPress đang bị khai thác trong các cuộc tấn công.
YITH WooCommerce Gift Cards cho phép người bán hàng trực tuyến tạo những thẻ quà tặng mà khách hàng của họ có thể mua cho bạn bè của họ để sử dụng trên cửa hàng thương mại điện tử. Nhà phát triển cho biết hiện đã có hơn 50.000 lượt cài đặt.
Lỗ hổng có số hiệu là CVE-2022-45359, có điểm CVSS là 9,8, đang bị khai thác đã được báo cáo vào tháng 11. Ngay sau đó một bản vá đã được phát hành.
Kẻ tấn công có thể tải lên tệp tùy ý, tải tệp thực thi lên các trang web WordPress sử dụng phiên bản plugin có lỗ hổng. Wordfence cho biết, tin tặc có thể khai thác thành công mà không cần xác thực.
Theo công ty bảo mật WordPress, kẻ tấn công có thể khai thác lỗ hổng trên một cửa hậu, thực thi mã từ xa (RCE) và có thế chiếm luôn trang web.
Wordfence cảnh báo: “Chúng tôi có thể đảo ngược kỹ thuật khai thác dựa trên lưu lượng tấn công và bản sao của plugin có lỗ hổng và đang cung cấp thông tin về tính năng của nó. Lỗ hổng này đã bị khai thác ngoài môi trường và một bản vá đã được phát hành”.
Lỗi bảo mật được tìm thấy trong một chức năng nhập hàm chạy trên hook admin_init, chạy cho tất cả các trang trong thư mục /wp-admin/. Do chức năng bị ảnh hưởng thiếu tính năng kiểm tra tấn công (CSRF) nên kẻ tấn công không được xác thực có thể kích hoạt lỗ hổng bằng cách gửi những yêu cầu đặc biệt chứa các tham số và payload cụ thể.
Wordfence nhấn mạnh: “Vì chức năng này không thực hiện bất kỳ kiểm tra loại tệp tin nào nên bất kỳ loại tệp nào trong đó các tệp tin PHP thực thi cũng đều có thể được tải lên”.
Quản trị viên trang web có thể xác định các dấu hiệu của một cuộc tấn công bằng cách kiểm tra nhật ký của họ để biết các yêu cầu POST tới wp-admin/admin-post.php.
Theo Wordfence, các cuộc tấn công đến từ hàng trăm địa chỉ IP, nhưng chỉ có hai IP gây ra phần lớn các nỗ lực khai thác. Hầu hết các cuộc tấn công xảy ra một ngày sau khi lỗ hổng được tiết lộ công khai, nhưng việc khai thác vẫn chưa dừng lại.
Wordfence kết luận rằng: “Vì lỗ hổng này dễ khai thác và cung cấp quyền truy cập đầy đủ vào một trang web nên chúng tôi cho rằng các cuộc tấn công sẽ còn tiếp tục diễn ra trong tương lai”.
Quản trị viên trang web nên cập nhật YITH WooCommerce Gift Cards phiên bản 3.20.0 trở lên. Đây là những phiên bản có chứa các bản vá cho lỗ hổng này./.