Buzz
Những kẻ tấn công đang tích cực khai thác một lỗ hổng cho phép họ thực thi các lệnh và đoạn mã độc hại trên các trang web sử dụng File Manager, một plugin WordPress với hơn 700.000 cài đặt hoạt động, các nhà nghiên cứu cho biết vào thứ Ba. Tin đồn về các cuộc tấn công xuất hiện vài giờ sau khi lỗ hổng bảo mật được vá.
Những người tấn công đang sử dụng lỗ hổng để tải lên các tệp chứa webshell được ẩn trong một hình ảnh. Từ đó, họ có một giao diện thuận tiện cho phép họ chạy lệnh trong plugins/wp-file-manager/lib/files/, thư mục nơi plugin File Manager đặt. Mặc dù hạn chế này ngăn chặn các hacker thực thi lệnh trên các tệp ngoài thư mục, nhưng hacker có thể gây thêm tổn thất bằng cách tải lên các đoạn mã có thể thực hiện các hành động trên các phần khác của một trang web có lỗ hổng.
NinTechNet, một công ty bảo mật trang web tại Bangkok, Thái Lan, là một trong những đơn vị đầu tiên báo cáo về các cuộc tấn công thực tế. Bài đăng cho biết một hacker đang khai thác lỗ hổng để tải lên một đoạn mã có tựa đề là hardfork.php và sau đó sử dụng nó để tiêm mã vào các tập lệnh WordPress /wp-admin/admin-ajax.php và /wp-includes/user.php.
Trong email, Giám đốc điều hành NinTechNet Jerome Bruandet viết:
Hiện vẫn còn quá sớm để biết tác động vì khi chúng tôi phát hiện cuộc tấn công, các hacker chỉ đang cố gắng tạo lối tắt cho trang web. Tuy nhiên, một điều thú vị chúng tôi nhận thấy là những kẻ tấn công đang tiêm mã để bảo vệ mật khẩu truy cập vào tệp có lỗ hổng (connector.minimal.php) để các nhóm hacker khác không thể khai thác lỗ hổng trên các trang web đã bị nhiễm mã.
Tất cả các lệnh có thể chạy trong thư mục /lib/files (tạo thư mục, xóa tệp v.v), nhưng vấn đề quan trọng nhất là họ có thể tải lên các đoạn mã PHP vào thư mục đó, sau đó chạy chúng và thực hiện bất cứ điều gì họ muốn với blog.
Cho đến nay, họ đang tải lên "FilesMan", một trình quản lý tệp tin thường được hacker sử dụng. Đây là một trong những trình quản lý tệp tin được mã hóa mạnh mẽ. Trong vài giờ và ngày tới, chúng ta sẽ thấy chính xác họ sẽ làm gì, vì nếu họ bảo vệ tệp tin có lỗ hổng bằng mật khẩu để ngăn chặn hacker khác khai thác lỗ hổng, có lẽ họ đang mong đợi quay lại thăm các trang web bị nhiễm bệnh.
Công ty bảo mật trang web đồng nghiệp Wordfence, trong khi đó, cho biết trong bài đăng của mình rằng họ đã chặn hơn 450.000 lần cố gắng khai thác trong vài ngày qua. Bài đăng nói rằng những kẻ tấn công đang cố gắng tiêm các tệp tin khác nhau. Trong một số trường hợp, những tệp tin đó trống rỗng, có lẽ là trong một nỗ lực để kiểm tra các trang web có lỗ hổng và, nếu thành công, tiêm một tệp tin độc hại sau này. Những tệp tin đang được tải lên có tên như hardfork.php, hardfind.php và x.php.
"Một plugin quản lý tệp tin như vậy sẽ giúp kẻ tấn công có thể thao túng hoặc tải lên bất kỳ tệp tin nào mà họ chọn trực tiếp từ bảng điều khiển quản trị WordPress, có thể cho phép họ tăng cường đặc quyền khi ở trong khu vực quản trị của trang web," Chloe Chamberland, một nhà nghiên cứu của công ty bảo mật Wordfence, viết trong bài đăng vào thứ ba. "Ví dụ, kẻ tấn công có thể truy cập khu vực quản trị của trang web bằng một mật khẩu bị nhiễm bệnh, sau đó truy cập plugin này và tải lên một webshell để tiếp tục đánh giá máy chủ và có thể leo thang cuộc tấn công của họ bằng một lỗ hổng khác."
Plugin quản lý tệp tin giúp quản trị viên quản lý tệp tin trên các trang web chạy hệ thống quản lý nội dung WordPress. Plugin chứa một trình quản lý tệp tin bổ sung được biết đến là elFinder, một thư viện mã nguồn mở cung cấp chức năng cơ bản trong plugin, cùng với giao diện người dùng để sử dụng nó. Lỗ hổng xuất phát từ cách plugin triển khai elFinder.
"Vấn đề căn cứ của vấn đề bắt đầu từ việc plugin Quản lý Tệp tin đổi tên phần mở rộng trên tệp tin connector.minimal.php.dist của thư viện elFinder thành .php để có thể được thực thi trực tiếp, mặc dù tệp connector không được sử dụng bởi chính File Manager," Chamberland giải thích. "Các thư viện như vậy thường bao gồm các tệp mẫu không dự kiến được sử dụng 'như là' mà không thêm kiểm soát truy cập, và tệp này không có các hạn chế trực tiếp về quyền truy cập, có nghĩa là bất kỳ ai cũng có thể truy cập. Tệp này có thể được sử dụng để khởi tạo một lệnh elFinder và được kết nối với tệp elFinderConnector.class.php."
Những nhà phát triển của File Manager đã tặng cho nhà nghiên cứu Ville Korhonen của công ty bảo mật Seravo với việc phát hiện và báo cáo lỗ hổng đầu tiên. Những nhà nghiên cứu, người nói rằng họ đã phát hiện lỗ hổng như một phần của 'dịch vụ duy trì WordPress' thường xuyên của họ, đã xuất bản bài viết của họ tại đây.
Sal Aguilar, một nhà thầu thiết lập và bảo vệ các trang web WordPress, đã đưa ra cảnh báo trên Twitter về những cuộc tấn công mà anh ta đang nhìn thấy.
"Ôi chết!!!" anh ấy viết. "Lỗ hổng của WP File Manager là NGUY HIỂM. Nó đang lan rộng nhanh chóng và tôi thấy hàng trăm trang web bị nhiễm bệnh. Phần malware đang được tải lên /wp-content/plugins/wp-file-manager/lib/files."
Lỗ hổng bảo mật xuất hiện trong các phiên bản File Manager từ 6.0 đến 6.8. Thống kê từ WordPress cho thấy hiện tại khoảng 52 phần trăm cài đặt đang có nguy cơ. Với hơn một nửa số trang web trong cơ sở cài đặt của File Manager đang ở mức 700.000 trang, khả năng gây thiệt hại là cao. Các trang web chạy bất kỳ phiên bản nào trong khoảng này nên cập nhật lên 6.9 ngay lập tức.
Câu chuyện này ban đầu xuất hiện trên Ars Technica.
Những Điều Tuyệt Vời Khác Từ Mytour
- 📩 Muốn nhận tin mới nhất về công nghệ, khoa học và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi!
- Thuật toán tình yêu của một nhà khoa học tên lửa tính đến trong đại dịch Covid-19
- Gặp nhân chứng chính: loa thông minh của bạn
- Cách ứng dụng tài chính khiến bạn tiêu nhiều hơn và nghi vấn ít hơn
- Làm cha mẹ trong thời đại của pod đại dịch
- TikTok và sự tiến hóa của khuôn mặt đen số
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Xem xét lựa chọn của đội Gear của chúng tôi cho các thiết bị theo dõi sức khỏe tốt nhất, đồ chạy (bao gồm giày dép và tất), và tai nghe tốt nhất
