-
09/04/2020
-
113
-
1.112 bài viết
12.000 trang WordPress bị đặt vào tầm ngắm bởi lỗi xác thực nghiêm trọng
Một lỗ hổng xác thực nghiêm trọng vừa được phát hiện trong plugin Case Theme User dành cho WordPress, cho phép kẻ tấn công vượt qua toàn bộ cơ chế đăng nhập và chiếm quyền điều khiển tài khoản quản trị. Lỗ hổng này được định danh CVE-2025-5821 với điểm CVSS 9.8 và ảnh hưởng đến mọi phiên bản của plugin từ 1.0.3 trở về trước. Ước tính có khoảng 12.000 website đang sử dụng plugin này trên toàn cầu.
Cơ chế khai thác CVE-2025-582 đặc biệt nguy hiểm vì không yêu cầu thông tin đăng nhập hoặc công cụ phức tạp. Kẻ tấn công chỉ cần gửi một chuỗi yêu cầu HTTP được định dạng phù hợp là có thể truy cập vào bất kỳ tài khoản nào, bao gồm cả tài khoản quản trị nếu đoán đúng địa chỉ email. Điều này khiến lỗ hổng trở thành mục tiêu hấp dẫn với tội phạm mạng do khả năng khai thác đại trà với chi phí rất thấp.
Các nhà nghiên cứu của Wordfence phát hiện lỗ hổng thông qua chương trình bug bounty và ghi nhận hoạt động khai thác chỉ một ngày sau khi thông tin được công bố. Hệ thống tường lửa của họ đã chặn hơn 20.900 nỗ lực khai thác tính đến thời điểm báo cáo. Việc plugin này được đóng gói sẵn trong nhiều theme thương mại càng mở rộng diện tấn công, khiến nhiều website có nguy cơ bị chiếm quyền mà quản trị viên không hề hay biết.
Mẫu tấn công phổ biến là thử đoán các địa chỉ email quản trị thường dùng như [email protected], [email protected] hoặc [email protected]. Điều này cho thấy các nhóm tấn công triển khai phương thức tự động hóa ở quy mô lớn, rà quét hàng loạt website và chiếm quyền ngay khi đoán trúng email.
Phân tích kỹ thuật cho thấy CVE-2025-582 nằm trong hàm facebook_ajax_login_callback() thuộc lớp Case_Theme_User_Ajax. Hàm này chịu trách nhiệm xử lý yêu cầu đăng nhập qua mạng xã hội bằng cách tạo tài khoản dựa trên email nhận được. Vấn đề nằm ở việc hàm không xác thực trạng thái đăng nhập trước khi khởi tạo phiên người dùng và gán quyền truy cập.
Quá trình khai thác (Nguồn Wordfence)
Quy trình khai thác thường gồm hai giai đoạn. Ở giai đoạn đầu, kẻ tấn công gửi yêu cầu POST tới /wp-admin/admin-ajax.php với tham số action=facebook_ajax_login, kèm dữ liệu giả mạo mô phỏng người dùng Facebook thật như data[name]=temp và data=[email protected]. Điều này tạo ra một tài khoản tạm thời và một phiên đăng nhập hợp lệ. Ở giai đoạn tiếp theo, chúng tiếp tục gửi yêu cầu tương tự nhưng thay địa chỉ email bằng email nạn nhân. Do hàm xử lý chỉ tìm người dùng theo email mà không xác thực token gốc, phiên đăng nhập ngay lập tức được gán cho tài khoản nạn nhân, cho phép kẻ tấn công chiếm toàn bộ đặc quyền của người dùng này.
Nhà phát triển đã phát hành bản vá 1.0.4, bổ sung cơ chế kiểm tra xác thực trước khi cấp quyền đăng nhập. Quản trị viên website cần nâng cấp lên phiên bản mới nhất ngay lập tức và kiểm tra log truy cập để phát hiện các yêu cầu AJAX bất thường, đặc biệt là những yêu cầu xuất phát từ các địa chỉ IP được ghi nhận là độc hại như 2602:ffc8:2:105:216:3cff:fe96:129f và 146.70.186.142. Việc theo dõi chặt chẽ các hành vi đăng nhập bất thường và áp dụng cơ chế giám sát nâng cao sẽ giúp giảm thiểu rủi ro trước các khai thác tự động quy mô lớn.
Nếu website bị chiếm quyền, hậu quả có thể rất nghiêm trọng. Kẻ tấn công có thể cài đặt backdoor để duy trì quyền truy cập, chèn mã độc nhằm đánh cắp dữ liệu người dùng, chèn quảng cáo SEO spam hoặc chuyển hướng lưu lượng truy cập sang trang lừa đảo. Trong một số trường hợp, website có thể bị lợi dụng làm bàn đạp phát tán malware hoặc tham gia vào chiến dịch tấn công quy mô lớn hơn, gây tổn hại đến uy tín và dữ liệu của doanh nghiệp.
Cơ chế khai thác CVE-2025-582 đặc biệt nguy hiểm vì không yêu cầu thông tin đăng nhập hoặc công cụ phức tạp. Kẻ tấn công chỉ cần gửi một chuỗi yêu cầu HTTP được định dạng phù hợp là có thể truy cập vào bất kỳ tài khoản nào, bao gồm cả tài khoản quản trị nếu đoán đúng địa chỉ email. Điều này khiến lỗ hổng trở thành mục tiêu hấp dẫn với tội phạm mạng do khả năng khai thác đại trà với chi phí rất thấp.
Các nhà nghiên cứu của Wordfence phát hiện lỗ hổng thông qua chương trình bug bounty và ghi nhận hoạt động khai thác chỉ một ngày sau khi thông tin được công bố. Hệ thống tường lửa của họ đã chặn hơn 20.900 nỗ lực khai thác tính đến thời điểm báo cáo. Việc plugin này được đóng gói sẵn trong nhiều theme thương mại càng mở rộng diện tấn công, khiến nhiều website có nguy cơ bị chiếm quyền mà quản trị viên không hề hay biết.
Mẫu tấn công phổ biến là thử đoán các địa chỉ email quản trị thường dùng như [email protected], [email protected] hoặc [email protected]. Điều này cho thấy các nhóm tấn công triển khai phương thức tự động hóa ở quy mô lớn, rà quét hàng loạt website và chiếm quyền ngay khi đoán trúng email.
Phân tích kỹ thuật cho thấy CVE-2025-582 nằm trong hàm facebook_ajax_login_callback() thuộc lớp Case_Theme_User_Ajax. Hàm này chịu trách nhiệm xử lý yêu cầu đăng nhập qua mạng xã hội bằng cách tạo tài khoản dựa trên email nhận được. Vấn đề nằm ở việc hàm không xác thực trạng thái đăng nhập trước khi khởi tạo phiên người dùng và gán quyền truy cập.
Quá trình khai thác (Nguồn Wordfence)
Quy trình khai thác thường gồm hai giai đoạn. Ở giai đoạn đầu, kẻ tấn công gửi yêu cầu POST tới /wp-admin/admin-ajax.php với tham số action=facebook_ajax_login, kèm dữ liệu giả mạo mô phỏng người dùng Facebook thật như data[name]=temp và data=[email protected]. Điều này tạo ra một tài khoản tạm thời và một phiên đăng nhập hợp lệ. Ở giai đoạn tiếp theo, chúng tiếp tục gửi yêu cầu tương tự nhưng thay địa chỉ email bằng email nạn nhân. Do hàm xử lý chỉ tìm người dùng theo email mà không xác thực token gốc, phiên đăng nhập ngay lập tức được gán cho tài khoản nạn nhân, cho phép kẻ tấn công chiếm toàn bộ đặc quyền của người dùng này.
Nhà phát triển đã phát hành bản vá 1.0.4, bổ sung cơ chế kiểm tra xác thực trước khi cấp quyền đăng nhập. Quản trị viên website cần nâng cấp lên phiên bản mới nhất ngay lập tức và kiểm tra log truy cập để phát hiện các yêu cầu AJAX bất thường, đặc biệt là những yêu cầu xuất phát từ các địa chỉ IP được ghi nhận là độc hại như 2602:ffc8:2:105:216:3cff:fe96:129f và 146.70.186.142. Việc theo dõi chặt chẽ các hành vi đăng nhập bất thường và áp dụng cơ chế giám sát nâng cao sẽ giúp giảm thiểu rủi ro trước các khai thác tự động quy mô lớn.
Nếu website bị chiếm quyền, hậu quả có thể rất nghiêm trọng. Kẻ tấn công có thể cài đặt backdoor để duy trì quyền truy cập, chèn mã độc nhằm đánh cắp dữ liệu người dùng, chèn quảng cáo SEO spam hoặc chuyển hướng lưu lượng truy cập sang trang lừa đảo. Trong một số trường hợp, website có thể bị lợi dụng làm bàn đạp phát tán malware hoặc tham gia vào chiến dịch tấn công quy mô lớn hơn, gây tổn hại đến uy tín và dữ liệu của doanh nghiệp.
Theo Cyber Security News
Chỉnh sửa lần cuối: