Một cuộc tấn công lớn đã xâm phạm 93 theme và plugin WordPress để cài cắm backdoor, cho phép kẻ tấn công giành toàn quyền truy cập vào các trang web.
Các đối tượng tấn công đã xâm phạm 40 theme và 53 plugin WordPress của nhà phát triển AccessPress được sử dụng trong hơn 360.000 trang web.
Các nhà nghiên cứu tại Jetpack đã phát hiện ra một backdoor PHP đã được chèn vào các theme và plugin.
Jetpack cho rằng tin tặc đã xâm nhập vào trang web AccessPress để xâm phạm các phần mềm.
Ngay sau khi quản trị viên cài đặt phần mềm đã bị xâm phạm trên trang web của họ, tác nhân độc hại có thể thêm một tệp “initial.php” mới vào thư mục “main” và đưa nó vào tệp “functions.php”.
Tệp này chứa payload được mã hóa base64, khi được giải mã sẽ ghi một webshell vào tệp “./wp-includes/vars.php” để cài đặt backdoor cho phép tin tặc kiểm soát trang web bị nhiễm. Sau khi backdoor được cài đặt, mã độc sẽ xóa tệp “initial.php” để xóa dấu vết.
Cách duy nhất để phát hiện mối đe dọa này là sử dụng giải pháp giám sát tính toàn vẹn của tệp.
Theo các nhà nghiên cứu Sucuri, tin tặc sử dụng backdoor để chuyển hướng truy cập đến các trang web lừa đảo và phát tán phần mềm độc hại hoặc bán quyền truy cập vào các trang web trên các diễn đàn tội phạm mạng.
Bạn có bị ảnh hưởng?
Nếu bạn đã cài đặt một trong các plugin hoặc theme bị xâm phạm trên trang web của mình, việc xóa/thay thế/cập nhật chúng sẽ không loại bỏ các mã độc đã được cài cắm.
Quản trị viên trang web nên rà quét toàn bộ các trang web để tìm các dấu hiệu xâm phạm bằng cách thực hiện những việc sau:
- Kiểm tra tệp wp-include/vars.php xung quanh dòng 146-158. Nếu thấy hàm “wp_is_mobile_fix” ở đó với một số mã bị xáo trộn, trang web đã bị xâm phạm.
- Truy vấn hệ thống tệp của bạn cho “wp_is_mobile_fix” hoặc “wp-theme-connect” để xem có tệp nào bị ảnh hưởng không
- Thay thế các tệp WordPress chính bằng các bản sao mới.
- Nâng cấp các plugin bị ảnh hưởng và chuyển sang một theme khác.
- Thay đổi mật khẩu wp-admin và cơ sở dữ liệu.
Jetpack cũng cung cấp một luật (rule) YARA giúp kiểm tra xem một trang web đã bị nhiễm virus hay chưa và phát hiện cả các phần mềm độc hại đã được cài cắm.
Cập nhật, thay thế các plugin và theme ngay
Jetpack lần đầu phát hiện backdoor vào tháng 9 năm 2021. Ngay sau đó, các nhà nghiên cứu phát hiện ra tất cả các plugin và theme miễn phí của nhà cung cấp đã bị xâm phạm.
Các tiện ích bổ sung AccessPress trả phí chưa được kiểm tra xem đã bị xâm phạm hay chưa.
Vào ngày 15/10/2021, AccessPress đã xóa các tiện ích mở rộng khỏi trang web tải xuống chính thức.
Vào ngày 17 tháng 1 năm 2022, AccessPress đã phát hành các phiên bản mới đã được "làm sạch" cho tất cả các plugin bị ảnh hưởng.
Tuy nhiên, các theme bị ảnh hưởng vẫn chưa được khắc phục, vì vậy việc chuyển sang sử dụng một theme khác là cách duy nhất để giảm thiểu rủi ro.
Bạn có thể xem danh sách đầy đủ các sản phẩm bị ảnh hưởng trên bài đăng của Jetpack.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một nghiên cứu về tấn công zero-click trong ứng dụng Zoom cho biết hai lỗ hổng bảo mật chưa được công khai trước đây có thể đã bị khai thác để làm gián đoạn dịch vụ, thực thi mã độc và làm rò rỉ dữ liệu.
Tín nhiệm mạng | Ngân hàng trung ương của Cộng hòa Indonesia đã xác nhận bị tấn công ransomware vào tháng trước và sự cố không làm gián đoạn hoạt động của ngân hàng
Tín nhiệm mạng | Nền tảng giao dịch tiền điện tử lớn thứ ba thế giới-Crypto.com đã xác nhận bị tấn công mạng gây thất thoát hàng triệu đô la của công ty và ảnh hưởng đến hơn 400 tài khoản khách hàng.
Tín nhiệm mạng | Mới đây, Microsoft đã tiết lộ thông tin về lỗ hổng bảo mật mới trong phần mềm chia sẻ tệp SolarWinds Serv-U, được phát hiện khi những kẻ tấn công đang lợi dụng lỗ hổng Log4j để cố đăng nhập vào Serv-U.
Tín nhiệm mạng | Số vụ lây nhiễm mã độc nhắm vào các thiết bị IoT Linux đã tăng 35% vào năm 2021, với mục đích chủ yếu để lạm dụng các thiết bị bị xâm phạm cho các cuộc tấn công từ chối dịch vụ.
Tín nhiệm mạng | Wi-Fi công cộng mang lại nhiều lợi ích, nhưng cũng kèm theo nhiều rủi ro. Khi sử dụng Wi-Fi công cộng, bạn có thể dễ bị tấn công bởi nhiều mối đe dọa mạng như phần mềm độc hại, vi rút và các hình thức xâm nhập khác.