Ultimate Member là một plugin quản lý hồ sơ người dùng và thành viên, hỗ trợ việc đăng ký và xây dựng cộng đồng trên các trang web WordPress. Hiện tại, plugin này có hơn 200.000 lượt cài đặt từ người dùng. Hacker đã khai thác một lỗ hổng zero-day leo thang đặc quyền (privilege escalation) trong plugin ‘Ultimate Member’ của WordPress để xâm nhập vào các trang web bằng cách qua mặt các biện pháp bảo mật và đăng ký tài khoản quản trị viên giả mạo.
Lỗ hổng bị khai thác là CVE-2023-3460 và có điểm số CVSS 9,8/10, ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm phiên bản mới nhất (v2.6.6).
Trong khi nhà phát triển của Ultimate Member đã cố gắng sửa lỗi trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6, hacker vẫn có thể khai thác lỗ hổng. Nhà phát triển cho biết họ đang tiếp tục làm việc để giải quyết vấn đề còn lại và hy vọng sẽ sớm phát hành bản cập nhật mới.
Các cuộc tấn công khai thác zero-day này được phát hiện bởi những chuyên gia tại Wordfence. Họ cảnh báo rằng hacker khai thác lỗ hổng bằng cách sử dụng các biểu mẫu đăng ký của plugin để thiết lập giá trị meta người dùng tùy ý trên tài khoản của họ.
Cụ thể hơn, kẻ tấn công đặt giá trị meta người dùng “wp_capabilities” để xác định vai trò người dùng của họ là quản trị viên và cho phép họ truy cập hoàn toàn vào trang web có lỗ hổng.
Plugin có danh sách để chặn các key mà người dùng không nên nâng cấp; tuy nhiên, Wordfence cho biết việc qua mặt biện pháp bảo vệ này khá dễ dàng.
Các trang web WordPress bị tấn công bằng cách sử dụng CVE-2023-3460 trong các cuộc tấn công sẽ có các thông tin sau:
- Xuất hiện tài khoản quản trị viên mới trên trang web.
- Sử dụng các tên người dùng như wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal.
- Bản ghi nhật ký (logs) cho thấy các địa chỉ IP đã biết đến là độc hại truy cập vào trang đăng ký Ultimate Member.
- Bản ghi nhật ký (logs) cho thấy truy cập từ các địa chỉ IP 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 và 172.70.147.176.
- Xuất hiện tài khoản người dùng với địa chỉ email liên kết với “exelica.com”.
- Cài đặt các plugin và giao diện WordPress mới trên trang web.
Do lỗ hổng nguy hiểm này vẫn chưa được vá và khai thác rất dễ dàng, WordFence khuyến nghị ngay lập tức gỡ bỏ plugin Ultimate Member.
- WordFence giải thích rằng ngay cả luật của firewall mà hãng đặc biệt phát triển để bảo vệ khách hàng khỏi mối đe dọa này cũng không bao gồm tất cả các kịch bản khai thác tiềm năng, do đó việc gỡ bỏ plugin cho đến khi nhà cung cấp giải quyết vấn đề là hành động sáng suốt nhất.
- Nếu phát hiện trang web đã bị xâm nhập, dựa trên các IoCs được chia sẻ ở trên, việc gỡ bỏ plugin sẽ không đủ để khắc phục rủi ro.
- Trong những trường hợp đã bị xâm nhập, chủ sở hữu trang web phải chạy quét malware toàn diện để loại bỏ hoàn toàn hacker, xóa các tài khoản quản trị giả mạo.
Zero-day là gì?
Zero-day là một thuật ngữ được sử dụng trong lĩnh vực bảo mật thông tin để chỉ các lỗ hổng bảo mật mà nhà phát triển chưa biết đến hoặc chưa có bản vá bảo mật. Các lỗ hổng này thường được tìm thấy bởi các kẻ tấn công và được sử dụng để tấn công các hệ thống, trang web hoặc ứng dụng.
Thuật ngữ “zero-day” xuất phát từ thời gian mà một lỗ hổng được phát hiện đến khi nhà phát triển tạo ra một bản vá bảo mật hoặc thông báo về lỗ hổng đó. Trong khoảng thời gian này, kẻ tấn công có thể khai thác lỗ hổng để xâm nhập vào hệ thống, lấy cắp thông tin hoặc gây hại cho hệ thống đó.
Các lỗ hổng zero-day thường được bán cho các tổ chức hoặc kẻ tấn công khác nhau để sử dụng cho các mục đích xấu. Trong một số trường hợp, các lỗ hổng này có thể được công bố công khai để cảnh báo cho cộng đồng bảo mật và giúp các nhà phát triển tạo ra các bản vá bảo mật. Tuy nhiên, việc công bố này cũng có thể dẫn đến việc các kẻ tấn công khác sử dụng lỗ hổng đó để tấn công các hệ thống khác.
Do đó, việc bảo vệ khỏi các lỗ hổng zero-day là một vấn đề quan trọng trong lĩnh vực bảo mật thông tin. Các nhà phát triển và chuyên gia bảo mật thường thực hiện các kiểm tra và đánh giá bảo mật thường xuyên để phát hiện và giải quyết các lỗ hổng trước khi chúng trở thành lỗ hổng zero-day.
ASIC cung cấp giải pháp Defensics – đến từ Synopsys (Hoa Kỳ) – là giải pháp kiểm thử bảo mật được thiết kế để giúp các tổ chức xác định và giảm thiểu các lỗi bảo mật Zero-day trong phần mềm và hệ thống. Liên hệ với ASIC để được tư vấn về Giải pháp bảo mật tổng thể, toàn diện và hiệu quả nhất!