Phát hiện mã độc Linux mới đang khai thác hàng chục lỗ hổng CMS WordPress

Các trang web WordPress đang bị nhắm mục tiêu bởi một họ phần mềm độc hại Linux mới. Mã độc này khai thác các lỗ hổng trong khoảng ba mươi plugin và theme để xâm phạm các hệ thống dễ bị tấn công.

Trong một báo cáo được công bố vào tuần trước, nhà cung cấp bảo mật Doctor Web của Nga cho biết "nếu các trang web sử dụng các phiên bản lỗi thời của các tiện ích bổ sung (add-on), thiếu các bản vá lỗi quan trọng, chúng có thể bị nhắm mục tiêu để chèn (injected) mã JavaScripts độc hại". "Kết quả là, khi người dùng nhấp vào bất kỳ vị trí nào của trang bị tấn công, họ sẽ bị chuyển hướng đến các trang khác".

Các cuộc tấn công liên quan đến việc lạm dụng các lỗ hổng bảo mật đã biết trong 19 plugin và theme khác nhau có khả năng được cài đặt trên một trang web WordPress để triển khai một công cụ có thể nhắm mục tiêu vào một trang web cụ thể để mở rộng phạm vi tấn công.

Nó cũng có khả năng chèn mã JavaScript được lấy từ một máy chủ từ xa để chuyển hướng truy cập của người dùng đến một trang web tùy ý mà kẻ tấn công muốn.

Doctor Web cho biết họ đã xác định được phiên bản thứ hai của backdoor cũng như cập nhật danh sách các lỗ hổng, plugin, theme có thể bị lạm dụng (có thể xem tại cuối bài viết).

Cả hai biến thể đều được cho là có chứa một phương pháp mới [chưa từng được triển khai] để brute-force các tài khoản quản trị viên WordPress.

“Nếu một tùy chọn như vậy được triển khai trong các phiên bản mới hơn của backdoor, tin tặc thậm chí có thể tấn công thành công một số trang web sử dụng các phiên bản plugin đã được vá các lỗ hổng”.

Người dùng WordPress nên cập nhật tất cả các thành phần của nền tảng, bao gồm các theme và tiện ích bổ sung của bên thứ ba. Bạn cũng nên sử dụng thông tin đăng nhập và mật khẩu mạnh và duy nhất để bảo mật tài khoản của mình.

Tiết lộ được đưa ra vài tuần sau khi Fortinet FortiGuard Labs tiết lộ chi tiết về một mạng botnet khác có tên GoTrim được thiết kế để tấn công các trang web tự lưu trữ bằng cách sử dụng hệ thống quản lý nội dung WordPress (CMS) để giành quyền kiểm soát trên các hệ thống bị nhắm mục tiêu.

Tháng trước, Sucuri cũng lưu ý rằng hơn 15.000 trang web WordPress đã bị xâm phạm như một phần của chiến dịch độc hại nhằm chuyển hướng truy cập của người dùng đến các trang lừa đảo/giả mạo. Số trường hợp bị nhiễm hiện vẫn đang hoạt động là 9.314 website.

Vào tháng 6 năm nay, các nhà nghiên cứu cũng đã phát hiện và cảnh báo về một hệ thống định hướng lưu lượng truy cập (TDS) có tên là Parrot đã nhắm mục tiêu các trang web WordPress thông qua mã JavaScript độc hại để triển khai mã độc vào các hệ thống bị tấn công.

Danh sách các plugin và theme bị nhắm mục tiêu bao gồm -

- WP Live Chat Support

- Yuzo Related Posts

- Yellow Pencil Visual CSS Style Editor

- Easy WP SMTP

- WP GDPR Compliance

- Newspaper (CVE-2016-10972)

- Thim Core

- Smart Google Code Inserter (đã bị ngừng cung cấp từ ngày 28 tháng 1 năm 2022)

- Total Donations

- Post Custom Templates Lite

- WP Quick Booking Manager

- Live Chat with Messenger Customer Chat by Zotabox

- Blog Designer

- WordPress Ultimate FAQ (CVE-2019-17232 và CVE-2019-17233)

- WP-Matomo Integration (WP-Piwik)

- ND Shortcodes

- WP Live Chat

- Coming Soon Page and Maintenance Mode

- Hybrid

- Brizy

- FV Flowplayer Video Player

- WooCommerce

- Coming Soon Page & Maintenance Mode

- Onetone

- Simple Fields

- Delucks SEO

- Poll, Survey, Form & Quiz Maker by OpinionStage

- Social Metrics Tracker

- WPeMatico RSS Feed Fetcher

- Rich Reviews

Nguồn: thehackernews.com.