Phát hiện lỗ hổng trong plugin WordPress Live Chat có thể tạo cơ hội cho kẻ tấn công để tiêm mã độc

Plugin WordPress Live Chat hiện nay đã có trên 60.000 trang web và là sự thay thế miễn phí cho chức năng trò chuyện để thu hút khách hàng.

Rủi ro của các cuộc tấn công tự động

Các chuyên gia bảo mật tại Sucuri phát hiện rằng các phiên bản plugin trước phiên bản 8.0.27 của WordPress Live Chat đều có lỗ hổng Cross-Site Scripting (XSS), mà có thể bị kẻ tấn công từ xa mà không cần tài khoản trên trang web bị ảnh hưởng.

Không cần xác thực trên trang web đích, kẻ tấn công có thể tự động hóa các cuộc tấn công của mình trên nhiều nạn nhân khác nhau. Điều này trở nên đặc biệt nguy hiểm khi plugin phổ biến và mức độ khai thác thấp, có thể dẫn đến các cuộc tấn công tự động.

Lỗ hổng XSS được đánh giá là rất nghiêm trọng, cho phép kẻ tấn công tiêm mã độc như Wanna Cry vào các trang web hoặc ứng dụng web, đe dọa tài khoản của người truy cập hoặc thậm chí thêm mã độc vào nội dung trang đã chỉnh sửa.

XSS có thể tồn tại 'dài' nếu mã độc được thêm vào một phần của trang được lưu trữ trên máy chủ, chẳng hạn như trong bình luận người dùng. Khi người dùng tải trang chứa mã độc, mã độc này sẽ được thực thi bởi trình duyệt, tuân thủ các hướng dẫn của kẻ tấn công.

Theo các chuyên gia an ninh tại Sucuri, việc tận dụng lỗ hổng có thể là kết quả của 'admin_init hook' không được bảo vệ - đối tượng tấn công chủ yếu là các plugin WordPress phổ biến.

Các chuyên gia cũng thông báo về việc hàm 'wplc_head_basic ' không được sử dụng để thực hiện kiểm tra đặc quyền cần thiết để cập nhật thiết lập của plugin WordPress.

Sau đó, hàm được thực thi để kiểm tra đặc quyền quan trọng hơn như mô tả trong hình minh họa dưới đây:

'Vì admin_init có thể được gọi thông qua cách truy cập /wp-admin/admin-post.php hoặc /wp-admin/admin-ajax.php , những kẻ tấn công không xác thực có thể sử dụng các điểm cuối này để tự do cập nhật cài đặt tùy chọn wplc_custom_js '.

Nội dung của tùy chọn xuất hiện trên mọi trang hỗ trợ trò chuyện trực tiếp, điều này tạo điều kiện cho những kẻ tấn công nhắm vào các trang web dễ bị tấn công để tiêm mã JavaScript trên nhiều trang.

Sucuri đã thông báo vấn đề này đến các nhà phát triển plugin vào ngày 30/4 vừa qua, và phiên bản vá lỗi đã được phát hành vào ngày thứ Tư.

WordPress là công cụ hỗ trợ tốt nhất để tạo trang web ngày nay. Người dùng thường chọn cách thiết kế và tạo blog bằng WordPress vì không cần biết về mã lập trình mà vẫn có thể tạo ra trang web. Để bắt đầu, trước hết bạn cần cài đặt WordPess trên máy tính của mình. Bạn có thể tham khảo cách cài đặt WordPress tại đây.