Hơn 800 nghìn trang web WordPress có nguy cơ bị chiếm quyền kiểm soát

Hai lỗ hổng bảo mật trong "All in One" - WordPress SEO plugin rất phổ biến, ảnh hưởng đến hơn 3 triệu trang web, cho phép tin tặc tấn công chiếm quyền kiểm soát.

Các lỗ hổng có mức độ nghiêm trọng và cao, được nhà nghiên cứu bảo mật Marc Montpas phát hiện và báo cáo, lần lượt là lỗ hổng leo thang đặc quyền (CVE-2021-25036) và lỗ hổng SQL Injection (CVE-2021-25037), ảnh hưởng đến phiên bản SEO All in One từ 4.0.0 đến 4.1.5.2.

Nhà phát triển plugin đã phát hành bản cập nhật bảo mật để khắc phục cả hai lỗ hổng vào ngày 7/12/2021.

Tuy nhiên, theo thống kê trong hai tuần qua kể từ khi bản vá được phát hành, hơn 820.000 trang web sử dụng plugin vẫn chưa cập nhật bản vá và có nguy cơ tấn công.

Việc khai thác lỗ hổng yêu cầu xác thực, tuy nhiên, chỉ cần có quyền người dùng mức thấp như “Subscriber” (người đăng ký), kẻ tấn công có thể lạm dụng lỗ hổng trong các cuộc tấn công.

Subscriber là một quyền người dùng WordPress mặc định, cho phép người dùng nhận xét về các bài viết được đăng trên các trang web WordPress.

Người đăng ký thường chỉ có thể chỉnh sửa hồ sơ của riêng họ bên cạnh việc đăng nhận xét. Trong trường hợp này, kẻ tấn công có thể khai thác CVE-2021-25036 để nâng cao đặc quyền và thực thi mã từ xa trên các trang web dễ bị tấn công và có khả năng chiếm hoàn toàn quyền kiểm soát trang web.

Cập nhật bản vá ngay

Montpas cho biết tin tặc có thể dễ dàng lạm dụng CVE-2021-25036 trên các trang web bị ảnh hưởng để leo thang đặc quyền.

"Điều này rất đáng lo ngại vì kẻ tấn công có thể khai thác lỗ hổng để truy cập đến một số endpoint nhạy cảm, như endpoint aioseo/v1/htaccess và ghi đè nội dung tệp .htaccess tùy ý".

"Kẻ tấn công có thể lạm dụng tính năng này để che dấu các backdoors và thực thi mã độc trên máy chủ."

Để giảm thiểu nguy cơ bị khai tác công, các quản trị viên trang web WordPress nên kiểm tra và cài đặt/cập nhập lên phiên bản không bị ảnh hưởng (SEO All In One 4.1.5.3) sớm nhất có thể.

Nguồn: bleepingcomputer.com