Kẻ tấn công lợi dụng lỗ hổng trong plugin AMP cho WP để tiến hành cuộc tấn công XSS

Buzz

Ngày cập nhật gần nhất: 15/4/2026

Đọc tóm tắt

- Phát hiện lỗ hổng bảo mật trong plugin AMP cho Wordpress cho phép hacker thực hiện cuộc tấn công XSS và cài đặt backdoor.
- Nguyên nhân của lỗ hổng là do Nonce trên phiên bản cũ của plugin không được kiểm tra nghiêm ngặt.
- Phiên bản mới (0.9.97.20) đã được phát hành để khắc phục lỗ hổng.
- Chiến dịch tấn công XSS đang được triển khai, tạo người dùng quản trị giả mạo trên trang web.
- Script độc hại tiêm backdoor vào plugin và kích hoạt plugin WooCommerce.
- Người dùng cần cập nhật plugin AMP và loại bỏ tài khoản Admin giả mạo để đề phòng tấn công.

Các nhà nghiên cứu gần đây phát hiện một lỗ hổng bảo mật quan trọng trong plugin AMP cho Wordpress, cho phép người dùng đã đăng ký thực hiện các hành động Admin trên trang web Wordpress. Do đó, hacker có thể tận dụng lỗ hổng trong plugin AMP cho WP để thực hiện cuộc tấn công XSS, cài đặt backdoor và tạo các tài khoản Admin giả mạo trên trang web Wordpress dễ bị tấn công.

Nguyên nhân gây ra các lỗ hổng bảo mật trong plugin AMP cho WP là do Nonce trên các phiên bản plugin cũ mà người dùng sử dụng không được kiểm tra một cách nghiêm ngặt. Phiên bản mới của plugin (0.9.97.20) đã được phát hành cách đây 2 tuần để khắc phục các lỗ hổng này.

Kẻ tấn công tận dụng lỗ hổng trong plugin AMP cho WP để thực hiện cuộc tấn công XSS

Tiếc rằng một số người dùng không hề biết về những lỗ hổng bảo mật này và không cập nhật phiên bản phần mềm mới nhất để khắc phục, điều này tạo điều kiện thuận lợi cho các cuộc tấn công.

Tải về phiên bản mới nhất của WordPress tại đây: Tải WordPress

Theo nghiên cứu của Mikey Veenstra, một nhà phân tích mối đe dọa từ WordFence, một chiến dịch mới đang được triển khai, lợi dụng các lỗ hổng này để thực hiện cuộc tấn công XSS, hạn chế quyền của các quản trị viên trang web bằng cách phát tán các tập tin script độc hại trên các trang WordPress dễ bị tấn công.

Trong cuộc trò chuyện với BleepingComputer, nhà nghiên cứu cho biết: 'Tất cả các cuộc tấn công đều được tự động hóa. Với sự xuất hiện của chuỗi User-Agent bị hỏng, 'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv', trong tất cả các cuộc tấn công được xác định trong chiến dịch này, cũng như định dạng payload phù hợp không phụ thuộc vào số lượng lớn địa chỉ IP tấn công, không chắc chắn liệu các cuộc tấn công này có đang được thực hiện theo cách thủ công hay không'.

Tệp script độc hại này được lưu trữ tại URL https://sslapis[.]com/assets/si/stat.js, và khi chạy trên trình duyệt của người quản trị, nó sẽ tạo người dùng quản trị giả mạo mới trên trang web.

'Sau khi tạo một phần tử iframe ẩn trên trang đang được xem bởi người quản trị bị ảnh hưởng, script sẽ mô phỏng quá trình điền thông tin vào biểu mẫu người dùng mới. Trong quá trình này, nó sẽ chọn vai trò quản trị và gửi một sự kiện click () tới nút Submit (nút gửi) để tạo một người dùng mới có quyền truy cập quản trị', theo nghiên cứu của Veenstra.

Sau khi thêm tài khoản quản trị giả mạo, tài khoản này sẽ được cấu hình với tên người dùng supportuser và email [email protected] như trong đoạn mã sau.

Sau khi thêm một người dùng mới, script sẽ liệt kê tất cả các plugin đã cài đặt và tiêm backdoor PHP vào từng plugin một.

Các lối vào ẩn sẽ được mã hóa bằng mã base64, sau đó được giải mã như là mã PHP, và sau đó sử dụng hàm extract () để gán dữ liệu người dùng vào các biến môi trường, được thực thi bởi hàm die ().

Cách thức hoạt động của lối vào ẩn này là đọc các biến được nối vào URL của plugin đã được cài đặt lối vào ẩn, và gán chúng làm biến môi trường bằng hàm extract (). Sau đó, lối vào ẩn sẽ thực thi hàm die (), gọi bất kỳ lệnh nào được chèn vào như là biến cdate với đối số cho hàm đó.

Do AMP là một trong những plugin phổ biến nhất trên WordPress, với mức độ nghiêm trọng của lỗ hổng và cuộc tấn công liên tục, tất cả người dùng được khuyến nghị phải thận trọng khi Cài đặt Plugin trên WordPress và loại bỏ tài khoản Admin giả mạo supportuser hoặc bất kỳ tài khoản Admin không xác định nào, đồng thời cập nhật lên phiên bản plugin AMP 0.9.97.20 hoặc mới hơn.

Script cũng kích hoạt plugin WooCommerce

Đáng chú ý là tập lệnh XSS cũng bao gồm một chức năng để kích hoạt plugin WooCommerce. Tập lệnh sẽ kết nối đến trang plugin.php trong WordPress, nơi chứa danh sách các plugin và liên kết để kích hoạt. Sau đó, tập lệnh sẽ tìm plugin WooCommerce và kích hoạt nếu phát hiện được.

WooCommerce cũng là một trong số các plugin phổ biến trên WordPress được phát hiện có chứa các lỗ hổng cho phép người dùng truy cập dưới quyền quản trị.

Theo BleepingComputer, các nhà nghiên cứu bảo mật từ WordFence giả định rằng tập lệnh có thể được sử dụng cho các payload được tải xuống từ máy chủ C2.

'Tập lệnh được lấy từ máy chủ C2 cũng định nghĩa hàm 'EnableReplace', điều này tạo ra các thay đổi trực tiếp cho các trang WooCommerce cụ thể, nếu có. Lý do tại sao JavaScript được sử dụng để khởi động giai đoạn tấn công này không rõ ràng, vì tài khoản quản trị và backdoor PHP sẽ cho phép kẻ tấn công thực hiện bất kỳ thay đổi trực tiếp nào trên WooCommerce mà họ muốn. Chúng tôi giả định rằng máy chủ C2 sẽ triển khai thêm payload XSS dễ dàng hơn bằng cách sử dụng những thay đổi trực tiếp này'.

Các câu hỏi thường gặp

Lỗ hổng bảo mật trong plugin AMP cho Wordpress có ảnh hưởng như thế nào đến người dùng?

Lỗ hổng bảo mật trong plugin AMP cho Wordpress cho phép hacker thực hiện các hành động Admin trái phép, như tạo tài khoản Admin giả mạo và cài đặt backdoor, gây nguy hiểm cho trang web.

Nguyên nhân chính nào gây ra lỗ hổng bảo mật trong plugin AMP cho Wordpress?

Nguyên nhân gây ra lỗ hổng bảo mật là do Nonce trong các phiên bản plugin cũ không được kiểm tra nghiêm ngặt, dẫn đến các cuộc tấn công XSS và các rủi ro bảo mật khác.

Người dùng Wordpress cần làm gì để bảo vệ trang web khỏi lỗ hổng này?

Người dùng Wordpress nên cập nhật plugin AMP lên phiên bản 0.9.97.20 hoặc mới hơn, loại bỏ tài khoản Admin giả mạo và thường xuyên kiểm tra bảo mật trang web của mình.

Tại sao việc không cập nhật plugin AMP lại tạo điều kiện cho hacker tấn công?

Việc không cập nhật plugin AMP khiến người dùng dễ bị tấn công vì các lỗ hổng bảo mật không được khắc phục, cho phép hacker tận dụng để cài đặt mã độc và quản lý trang web trái phép.

Kẻ tấn công có thể thực hiện những hành động gì trên trang Wordpress dễ bị tấn công?

Kẻ tấn công có thể thực hiện nhiều hành động như tạo tài khoản quản trị giả, cài đặt backdoor và kích hoạt các plugin khác, gây nguy hiểm cho toàn bộ trang web Wordpress.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]