Những nhà nghiên cứu bảo mật từ Wordfence đang cảnh báo người dùng WordPress rằng một plugin phổ biến có lỗ hổng bảo mật đang bị sử dụng trong các chiến dịch đang diễn ra. Những nhà tấn công có thể sử dụng lỗ hổng được theo dõi là CVE-2023-28121, và có điểm số nghiêm trọng là 9.8, để làm nhiều điều, bao gồm là bắt buộc toàn bộ website.
Lỗ hổng này được tìm thấy trong plugin WooCommerce Payments, được cài đặt trên hơn 600.000 trang web. Lỗ hổng được mô tả là “bỏ qua xác thực”, và cho phép những nhà tấn công bỏ qua xác thực và hoạt động như là những người dùng khác, bao gồm cả quản trị viên.
Hầu hết các cuộc tấn công, có vẻ được tự động hóa, đã xảy ra trong cuối tuần qua: “Các cuộc tấn công lớn tập trung vào lỗ hổng, được gán CVE-2023-28121, bắt đầu vào thứ năm, ngày 14 tháng 7 năm 2023 và tiếp tục trong cuối tuần, đạt đỉnh cao là 1,3 triệu tấn công đối với 157.000 trang web vào thứ bảy, ngày 16 tháng 7 năm 2023”, Wordfence đã nói trong thông báo của mình.
Các trang web chứa WooCommerce Payments phiên bản 4.8.0 đến 5.6.1 được nói là dễ bị tấn công, với bản vá lỗi đã có sẵn trong vài tháng qua.
Trên các trang web bị tấn công, những nhà tấn công đã thành công trong việc triển khai plugin WP Console và sử dụng nó để chạy mã độc, bao gồm cả trình tải tệp và các cửa lòng.
Lỗ hổng được phát hiện lần đầu bởi những nhà nghiên cứu bảo mật từ GoldNetwork, cuối tháng 3 năm 2023. Lúc đó, không có bằng chứng về việc lỗ hổng được sử dụng trong thực tế, và WordPress đã đẩy một bản cập nhật bắt buộc đến tất cả các trang web có plugin được cài đặt, với hy vọng giảm thiểu thiệt hại có thể. Tuy nhiên, có vẻ như có rất nhiều trang web ở đó có tự động cập nhật bị tắt.
Dưới đây là tất cả các phiên bản WooCommerce Payments dễ bị tấn công: .8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 và 5.6.2.
Nếu trang web của bạn vẫn đang chạy bất kỳ phiên bản trên, có khả năng nó vẫn chưa được cập nhật. Để làm điều này thủ công, hãy đến bảng điều khiển WP Admin của bạn, di chuyển đến Plugins, tìm WooCommerce Payments và tìm thông báo về lỗ hổng, cũng như hướng dẫn về cách cập nhật.
Chúng ta đang được thông báo về một cuộc tấn công để cướp bắt các trang web sử dụng một plugin WordPress hàng đầu. Cuộc tấn công đã được diễn ra trên hàng triệu trang web cả trên toàn cầu.
Cuộc tấn công được thực hiện bằng tay giữa tháng 8 và tháng 9 năm nay. Hackers đã sử dụng một lỗ hổng bảo mật trong plugin để truy cập vào các trang web. Sau khi đăng nhập, hacker đã chèn mã Javascript vào các trang. Mặc dù không rõ được mục đích của hacker, sự cố này có thể được cung cấp cho các đại lý lừa đảo, hoặc để tạo ra nhiều bot.
Sau khi nhận ra vấn đề, các lập trình viên của plugin WordPress đã nhanh chóng cập nhật phiên bản mới với bản sửa đổi bảo mật để ngăn chặn cuộc tấn công.
Người dùng đang sử dụng plugin WordPress hàng đầu này được khuyến khích để cập nhật lên phiên bản mới nhất có thể. Người dùng cũng cần phải kiểm tra lại các hệ thống bảo mật để tránh bị tấn công trong tương lai.