🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc đang khai thác lỗ hổng chưa được vá trong plugin WordPress để tạo tài khoản quản trị viên bí mật

02/07/2023

Khoảng 200.000 trang web WordPress có nguy cơ bị tin tặc tấn công bằng cách khai thác một lỗ hổng bảo mật nghiêm trọng chưa được vá trong plugin Ultimate Member.

Lỗ hổng, có định danh CVE-2023-3460 (điểm CVSS: 9,8), ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm cả phiên bản mới nhất (2.6.6) được phát hành vào ngày 29 tháng 6 năm 2023.

Ultimate Member là một plugin phổ biến hỗ trợ cho việc tạo hồ sơ người dùng và cộng đồng trên các trang web WordPress. Nó cũng cung cấp các tính năng quản lý tài khoản.

Công ty bảo mật WordPress WPScan cảnh báo rằng: "Đây là một lỗ hổng rất nghiêm trọng: những kẻ tấn công chưa được xác thực có thể khai thác lỗ hổng này để tạo tài khoản người dùng mới với quyền quản trị, cho phép họ kiểm soát hoàn toàn các trang web bị ảnh hưởng".

Thông tin chi tiết về lỗ hổng hiện vẫn chưa được tiết lộ do việc lạm dụng lỗ hổng đang diễn ra. Lỗ hổng bắt nguồn từ việc triển khai một danh sách chặn không đầy đủ để ngăn việc thay đổi giá trị meta wp_capabilities của người dùng mới thành giá trị meta của quản trị viên, dẫn đến kẻ tấn công có thể thay đổi giá trị này để có toàn quyền truy cập vào trang web.

"Mặc dù plugin triển khai một danh sách chặn mà người dùng không thể cập nhật, nhưng vẫn có cách để bỏ qua các kiểm soát này, chẳng hạn như sử dụng dấu gạch chéo và mã hóa ký tự trong giá trị khóa meta được cung cấp trong các phiên bản chứa lỗ hổng của plugin," nhà nghiên cứu của Wordfence, Chloe Chamberland cho biết.

Vấn đề được tiết lộ sau khi xuất hiện các báo cáo về việc tài khoản quản trị viên giả mạo được thêm vào các trang web bị ảnh hưởng, khiến những nhà bảo trì plugin phát hành các bản vá tạm thời trong các phiên bản 2.6.4, 2.6.5 và 2.6.6. Một bản cập nhật mới dự kiến ​​sẽ được phát hành trong những ngày tới.

"Lỗ hổng leo thang đặc quyền được sử dụng thông qua UM Forms", ​​Ultimate Member cho biết trong ghi chú phát hành. "Lỗ hổng đó cho phép người lạ tạo người dùng WordPress cấp quản trị viên".

Tuy nhiên, WPScan cho biết rằng các bản vá tạm thời chưa được hoàn chỉnh và họ đã phát hiện nhiều phương pháp để phá vỡ chúng, nghĩa là lỗ hổng vẫn có thể bị khai thác trong thực tế.

Trong các cuộc tấn công đã được phát hiện, lỗ hổng đang được sử dụng để đăng ký tài khoản mới dưới tên apads, se_brutal, segs_brutal, wpadmins, wpengine_backup và wpenginer để tải lên các plugin và theme độc hại thông qua trang quản trị của trang web.

Người dùng Ultimate Member nên tắt plugin cho đến khi có bản vá đầy đủ để khắc phục hoàn toàn lỗ hổng này. Bạn cũng nên kiểm tra tất cả người dùng cấp quản trị viên trên các trang web để xác định xem có tài khoản trái phép nào đã được thêm vào hay không và loại bỏ nó nếu phát hiện.

Nguồn: thehackernews.com.

scrolltop