Tin tặc rà quét lỗ hổng plugin và hack hàng triệu trang WordPress

www.tuoitre.vn -   07/07/2022 12:00:00 850

Các nhà nghiên cứu bảo mật vừa phát hiện ra một chiến dịch tấn công quy mô lớn của tội phạm mạng. Trong chiến dịch này, hacker đã tiến hành rà quét gần 1,6 triệu trang web WordPress để tìm một plugin dễ bị tấn công, cho phép tải file lên mà không cần xác thực.

Tin tặc rà quét lỗ hổng plugin và hack hàng triệu trang WordPress

Hacker đang nhắm mục tiêu vào Kaswara Modern WPBakery Page Builder, một plugin đã bị tác giả bỏ rơi trước khi nhận được bản vá cho lỗ hổng nghiêm trọng đang được theo dõi với mã CVE-2021-24284.

Lỗ hổng này cho phép kẻ tấn công tiêm mã Javascript độc hại vào các trang web sử dụng bất kỳ phiên bản plugin Kaswara Modern WPBakery Page Builder nào mà không cần xác thực. Sau đó, chúng có thể thực hiện các hành vi như tải lên và xóa file từ đí dẫn tới việc chiếm hoàn toàn quyền điều khiển trang web.

Mặc dù quy mô của chiến dịch này rất lớn với 1.599.852 trang web đang bị nhắm mục tiêu nhưng chỉ một phần nhỏ trong số đó đang chạy plugin dễ bị tấn công.

Các nhà nghiên cứu tại Defiant, hãng cung cấp giải pháp bảo mật Wordfence cho WordPress, nhận thấy trung bình mỗi ngày có gần nửa triệu lần tấn công nhắm vào trang web của những khách hàng mà họ đang bảo vệ.

Dựa trên dữ liệu thu thập từ Wordfence, các nhà nghiên cứu xác định các cuộc tấn công bắt đầu từ ngày 04/7 và tiếp diễn cho tới tận bây giờ. Trung bình, mỗi ngày hacker thử tấn công 443.868 lần.

Các cuộc tấn công bắt nguồn từ 10.215 địa chỉ IP riêng biệt, một số địa chỉ IP tạo ra hàng triệu lượt tấn công trong khi số còn lại tạo ra ít lượt tấn công hơn.

Những kẻ tấn công gửi yêu cầu ĐĂNG (POST) tới "wp-admin/admin-ajax/php", cố gắng sử dụng chức năng AJAX "uploadFontlcon" của plugin để tải lên payload ZIP độc hại chứa một file PHP.

Sau khi được tải lên, tệp này tìm nạp trojan NDSW, đưa code vào các tệp Javascript hợp pháp có trên trang với mục tiêu chuyển hướng khách truy cập đến các điểm đến độc hại như các trang lừa đảo hoặc các trang tải phần mềm độc hại...

Một số tệp mà hacker sử dụng cho các payload ZIP độc hại gồm "injection.zip", "king_zip.zip", "null.zip", "plugin.zip" và "***_young.zip".

Nếu thấy sự hiện diện của các tệp trên hoặc chuỗi ";if(ndsw==" trong bất kỳ tệp Javascript nào của bạn thì có nghĩa là trang của bạn đã bị tấn công.

Nếu vẫn đang sử dụng plugin Kaswara Modern WPBakery Page Builder Addons, bạn nên xóa nó ngay lập tức khỏi trang WordPress của mình. Nếu không sử dụng plugin trên bạn vẫn nên chặn địa chỉ IP của những kẻ tấn công.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Tác hại của ánh sáng xanh từ màn hình đi...

01/04/2025 12:00:00 339
Nghiên cứu đã tiết lộ những con số đáng báo động về mối liên hệ giữa thói quen nhìn màn hình trước k...

Cảnh báo mã độc phát tán từ những quảng ...

31/03/2025 12:00:00 217
Việc phòng tránh các quảng cáo DeepSeek giả mạo trên Google tương đối đơn giản, bạn có thể theo dõi ...

Trojan độc hại mới Crocodilus lợi dụng k...

28/03/2025 08:00:00 189
Một loại Trojan mới mang tên Crocodilus vừa được phát hiện, lợi dụng các dịch vụ trợ năng trên Andro...

Dân mạng cố lách để cài đặt Windows 11 k...

28/03/2025 12:00:00 222
Vấn đề này phản ánh sự căng thẳng giữa nhu cầu bảo mật của công ty và mong muốn tự do của người dùng...

Kaspersky tiết lộ hơn 500.000 vụ tấn côn...

27/03/2025 08:00:00 374
Theo dữ liệu mới nhất từ công ty an ninh mạng và bảo mật kỹ thuật số toàn cầu Kaspersky, tội phạm mạ...

Lỗi Windows máy in khó chịu nhất năm 202...

27/03/2025 12:00:00 258
Microsoft khuyên bạn nên cài đặt bản cập nhật mới nhất trên thiết bị của mình ngay bây giờ
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button