Hacker mở chiến dịch tấn công hàng loạt, khai thác lỗ hổng nguy hiểm trong plugin WordPress lỗi thời

Một chiến dịch tấn công diện rộng đang nhắm vào các trang web WordPress sử dụng hai plugin GutenKit và Hunk Companion, vốn tồn tại các lỗ hổng bảo mật nghiêm trọng có thể bị khai thác để thực thi mã từ xa (RCE).

Theo hãng bảo mật WordPress Wordfence, chỉ trong hai ngày 8 và 9/10, họ đã chặn được hơn 8,7 triệu lượt tấn công nhằm vào người dùng của mình.

Lỗ hổng nghiêm trọng trong GutenKit và Hunk Companion

Cuộc tấn công lần này khai thác ba lỗ hổng bảo mật, được định danh là CVE-2024-9234 , CVE-2024-9707 và CVE-2024-11972 , đều được đánh giá ở mức nguy cấp (CVSS 9.8) .

• CVE-2024-9234 : là lỗi REST endpoint không yêu cầu xác thực trong plugin GutenKit (hơn 40.000 lượt cài đặt), cho phép kẻ tấn công cài đặt plugin bất kỳ mà không cần quyền đăng nhập.
• CVE-2024-9707 và CVE-2024-11972 : là các lỗi thiếu xác thực trong themehunk-import REST endpoint của plugin Hunk Companion (khoảng 8.000 lượt cài), cũng có thể bị lợi dụng để cài thêm plugin độc hại.
  
  

Nhờ những lỗ hổng này, tin tặc có thể cài đặt thêm các plugin dễ bị tấn công khác, mở đường cho việc thực thi mã độc từ xa và chiếm quyền điều khiển trang web.

Lý do các website vẫn bị tấn công dù bản vá đã có

Theo báo cáo, CVE-2024-9234 ảnh hưởng tới GutenKit phiên bản 2.1.0 trở xuống , trong khi CVE-2024-9707 và CVE-2024-11972 ảnh hưởng đến Hunk Companion 1.8.5 trở xuống .
Nhà phát triển đã phát hành bản vá từ khá sớm — GutenKit 2.1.1 (tháng 10/2024) và Hunk Companion 1.9.0 (tháng 12/2024) . Tuy nhiên, do nhiều trang web chưa cập nhật kịp thời, số lượng hệ thống dễ bị tấn công vẫn còn rất lớn.

Hacker phát tán plugin giả mạo qua GitHub

Các nhà nghiên cứu của Wordfence phát hiện tin tặc đang lưu trữ một plugin độc hại trên GitHub, được nén trong tệp up.zip. Bên trong tệp này là các đoạn mã bị làm rối (obfuscate) có thể tải lên, tải xuống, xóa file hoặc thay đổi quyền truy cập. Một trong các đoạn mã còn được bảo vệ bằng mật khẩu và giả dạng như một phần của plugin “All in One SEO”, cho phép hacker đăng nhập tự động với quyền quản trị viên.

Sau khi xâm nhập, kẻ tấn công có thể duy trì quyền truy cập, đánh cắp dữ liệu, cài thêm mã độc hoặc thực thi lệnh từ xa trên máy chủ.
Nếu không thể cài được backdoor toàn quyền, chúng thường cài thêm plugin dễ tổn thương khác như wp-query-console, có thể bị lợi dụng để tấn công RCE mà không cần xác thực.

Cách phát hiện và phòng tránh

Wordfence cho biết, quản trị viên có thể kiểm tra nhật ký truy cập để phát hiện dấu hiệu bị xâm nhập. Cụ thể, hãy tìm các yêu cầu có dạng:

• /wp-json/gutenkit/v1/install-active-plugin
• /wp-json/hc/v1/themehunk-import

Ngoài ra, nên kiểm tra các thư mục như:
/up , /background-image-cropper , /ultra-seo-processor-wp , /oke , và /wp-query-console để phát hiện tập tin lạ.

Các chuyên gia bảo mật khuyến cáo luôn cập nhật tất cả plugin lên phiên bản mới nhất từ nhà phát triển, đồng thời thường xuyên quét bảo mật định kỳ để kịp thời phát hiện các thành phần độc hại tiềm ẩn.