Lỗ hổng của plugin WordPress Hunk Companion bị khai thác để cài đặt các plugin dễ bị tấn công một cách âm thầm

Những kẻ tấn công độc hại đang khai thác một lỗ hổng nghiêm trọng trong plugin Hunk Companion dành cho WordPress để cài đặt các plugin dễ bị tấn công khác có thể mở ra cánh cửa cho nhiều cuộc tấn công khác nhau.

Lỗ hổng được theo dõi là CVE-2024-11972 (điểm CVSS: 9,8), ảnh hưởng đến tất cả các phiên bản của plugin trước 1.9.0. Plugin này có hơn 10.000 lượt cài đặt đang hoạt động.

"Lỗ hổng này gây ra rủi ro bảo mật đáng kể vì nó cho phép kẻ tấn công cài đặt các plugin dễ bị tấn công hoặc đã đóng, sau đó có thể bị khai thác để tấn công như Thực thi mã từ xa (RCE), Tiêm SQL, Tấn công xuyên trang (XSS) hoặc thậm chí là tạo ra các cửa hậu quản trị", WPScan cho biết trong một báo cáo.

Tệ hơn nữa, kẻ tấn công có thể lợi dụng các plugin lỗi thời hoặc bị bỏ rơi để lách các biện pháp bảo mật, can thiệp vào hồ sơ cơ sở dữ liệu, thực thi các tập lệnh độc hại và chiếm quyền kiểm soát các trang web.

WPScan cho biết họ đã phát hiện ra lỗi bảo mật khi phân tích một vụ nhiễm trùng trên một trang web WordPress không xác định, phát hiện ra rằng các tác nhân đe dọa đã lợi dụng nó để cài đặt một plugin hiện đã đóng có tên là WP Query Console và sau đó lợi dụng lỗi RCE trong plugin đã cài đặt để thực thi mã PHP độc hại.

Cần lưu ý rằng lỗ hổng RCE zero-day trong WP Query Console, được theo dõi là CVE-2024-50498 (điểm CVSS: 10.0), vẫn chưa được vá.

CVE-2024-11972 cũng là bản vá bỏ qua CVE‑2024‑9707 (điểm CVSS: 9.8), một lỗ hổng tương tự trong Hunk Companion có thể cho phép cài đặt hoặc kích hoạt các plugin trái phép. Thiếu sót này đã được giải quyết trong phiên bản 1.8.5.

Về cơ bản, nó bắt nguồn từ một lỗi trong tập lệnh "hunk‑companion/import/app/app.php" cho phép các yêu cầu chưa xác thực bỏ qua các kiểm tra được đưa ra để xác minh xem người dùng hiện tại có được phép cài đặt plugin hay không.

Daniel Rodriguez của WPScan lưu ý rằng "Điều khiến cuộc tấn công này trở nên đặc biệt nguy hiểm là sự kết hợp của nhiều yếu tố -- lợi dụng lỗ hổng đã được vá trước đó trong Hunk Companion để cài đặt một plugin hiện đã bị xóa với lỗ hổng Thực thi mã từ xa đã biết".

"Chuỗi khai thác nhấn mạnh tầm quan trọng của việc bảo mật mọi thành phần của trang web WordPress, đặc biệt là các chủ đề và plugin của bên thứ ba, có thể trở thành điểm xâm nhập quan trọng đối với kẻ tấn công".

Sự phát triển này diễn ra khi Wordfence tiết lộ một lỗ hổng nghiêm trọng trong plugin WPForms (CVE-2024-11205, điểm CVSS: 8,5) cho phép kẻ tấn công đã xác thực, có quyền truy cập cấp độ Người đăng ký trở lên, hoàn lại tiền thanh toán Stripe và hủy đăng ký.

Lỗ hổng này ảnh hưởng đến các phiên bản 1.8.4 trở lên và bao gồm cả 1.9.2.1, đã được giải quyết trong các phiên bản 1.9.2.2 trở lên. Plugin này được cài đặt trên hơn 6 triệu trang web WordPress.

Hương – Theo TheHackerNews