🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Hơn 90 theme và plugin WordPress bị nhiễm backdoor

25/01/2022

Một cuộc tấn công lớn đã xâm phạm 93 theme và plugin WordPress để cài cắm backdoor, cho phép kẻ tấn công giành toàn quyền truy cập vào các trang web.

Các đối tượng tấn công đã xâm phạm 40 theme và 53 plugin WordPress của nhà phát triển AccessPress được sử dụng trong hơn 360.000 trang web.

Các nhà nghiên cứu tại Jetpack đã phát hiện ra một backdoor PHP đã được chèn vào các theme và plugin.

Jetpack cho rằng tin tặc đã xâm nhập vào trang web AccessPress để xâm phạm các phần mềm.

Ngay sau khi quản trị viên cài đặt phần mềm đã bị xâm phạm trên trang web của họ, tác nhân độc hại có thể thêm một tệp “initial.php” mới vào thư mục “main” và đưa nó vào tệp “functions.php”.

Tệp này chứa payload được mã hóa base64, khi được giải mã sẽ ghi một webshell vào tệp “./wp-includes/vars.php” để cài đặt backdoor cho phép tin tặc kiểm soát trang web bị nhiễm. Sau khi backdoor được cài đặt, mã độc sẽ xóa tệp “initial.php” để xóa dấu vết.

Cách duy nhất để phát hiện mối đe dọa này là sử dụng giải pháp giám sát tính toàn vẹn của tệp.

Theo các nhà nghiên cứu Sucuri, tin tặc sử dụng backdoor để chuyển hướng truy cập đến các trang web lừa đảo và phát tán phần mềm độc hại hoặc bán quyền truy cập vào các trang web trên các diễn đàn tội phạm mạng.

Bạn có bị ảnh hưởng?

Nếu bạn đã cài đặt một trong các plugin hoặc theme bị xâm phạm trên trang web của mình, việc xóa/thay thế/cập nhật chúng sẽ không loại bỏ các mã độc đã được cài cắm.

Quản trị viên trang web nên rà quét toàn bộ các trang web để tìm các dấu hiệu xâm phạm bằng cách thực hiện những việc sau:

- Kiểm tra tệp wp-include/vars.php xung quanh dòng 146-158. Nếu thấy hàm “wp_is_mobile_fix” ở đó với một số mã bị xáo trộn, trang web đã bị xâm phạm.

- Truy vấn hệ thống tệp của bạn cho “wp_is_mobile_fix” hoặc “wp-theme-connect” để xem có tệp nào bị ảnh hưởng không

- Thay thế các tệp WordPress chính bằng các bản sao mới.

- Nâng cấp các plugin bị ảnh hưởng và chuyển sang một theme khác.

- Thay đổi mật khẩu wp-admin và cơ sở dữ liệu.

Jetpack cũng cung cấp một luật (rule) YARA giúp kiểm tra xem một trang web đã bị nhiễm virus hay chưa và phát hiện cả các phần mềm độc hại đã được cài cắm.

Cập nhật, thay thế các plugin và theme ngay

Jetpack lần đầu phát hiện backdoor vào tháng 9 năm 2021. Ngay sau đó, các nhà nghiên cứu phát hiện ra tất cả các plugin và theme miễn phí của nhà cung cấp đã bị xâm phạm.

Các tiện ích bổ sung AccessPress trả phí chưa được kiểm tra xem đã bị xâm phạm hay chưa.

Vào ngày 15/10/2021, AccessPress đã xóa các tiện ích mở rộng khỏi trang web tải xuống chính thức.

Vào ngày 17 tháng 1 năm 2022, AccessPress đã phát hành các phiên bản mới đã được "làm sạch" cho tất cả các plugin bị ảnh hưởng.

Tuy nhiên, các theme bị ảnh hưởng vẫn chưa được khắc phục, vì vậy việc chuyển sang sử dụng một theme khác là cách duy nhất để giảm thiểu rủi ro.

Bạn có thể xem danh sách đầy đủ các sản phẩm bị ảnh hưởng trên bài đăng của Jetpack.

Nguồn: bleepingcomputer.com.

scrolltop