-
18/08/2021
-
45
-
73 bài viết
Lỗ hổng trong plugin 'All in One SEO' đe dọa chiếm quyền quản trị 3 triệu trang web
Một plugin tối ưu hóa SEO WordPress phổ biến có tên gọi là All in One SEO tồn tại một cặp lỗ hổng an ninh, khi kết hợp thành chuỗi khai thác có thể khiến chủ sở hữu trang web mở quyền tiếp quản trang web. Plugin này được sử dụng bởi hơn 3 triệu trang web trên thế giới.
Theo các nhà nghiên cứu tại Sucuri: Kẻ tấn công có tài khoản với trang web - chẳng hạn như người đăng ký, chủ tài khoản mua sắm hoặc thành viên - có thể tận dụng các lỗ hổng, đó là một lỗi leo thang đặc quyền và SQL-injection.
"Các trang web WordPress mặc định cho phép bất kỳ người dùng nào trên web tạo tài khoản" - các nhà nghiên cứu cho biết trong một bài đăng hôm thứ tư. "Theo mặc định, các tài khoản mới được xếp hạng là người đăng ký và không có bất kỳ đặc quyền nào khác ngoài việc viết bình luận. Tuy nhiên, một số lỗ hổng nhất định, chẳng hạn như những lỗ hổng vừa được phát hiện, cho phép những người dùng mới này có nhiều đặc quyền hơn mặc định.
Cặp lỗ hổng này dễ dàng khai thác, vậy nên người dùng cần nâng cấp bản vá phiên bản v.4.1.5.3.
Leo thang đặc quyền và SQL Injection
Lỗ hổng nghiêm trọng hơn trong hai cặp lỗ hổng là lỗi leo thang đặc quyền, ảnh hưởng đến các phiên bản 4.0.0 và 4.1.5.2 của All in One SEO. Nó được đánh giá mức độ nghiêm trọng là 9,9 trên 10, do cực kỳ dễ khai thác. Thực tế, lỗ hổng này có thể bị sử dụng để thiết lập một backdoor trên máy chủ web.
Lỗ hổng "có thể bị khai thác bằng cách thay đổi một ký tự duy nhất của request thành chữ in hoa", các nhà nghiên cứu tại Sucuri giải thích.
Về cơ bản, plugin có thể gửi lệnh đến các điểm cuối REST API khác nhau và nó thực hiện kiểm tra quyền để đảm bảo không ai làm bất cứ điều gì họ không được phép làm. Tuy nhiên, các tuyến API REST thì phân biệt kí tự hoa thường, vì vậy kẻ tấn công chỉ cần thay đổi dạng hoa thường của một ký tự để vượt qua kiểm tra xác thực.
"Khi bị khai thác, lỗ hổng này có khả năng ghi đè lên một số tệp nhất định trong cấu trúc tệp WordPress, cho phép truy cập backdoor cho bất kỳ kẻ tấn công nào", các nhà nghiên cứu Sucuri cho biết. "Điều này sẽ cho phép tiếp quản trang web và có thể nâng cao đặc quyền của tài khoản người đăng ký thành quản trị viên."
Lỗi thứ hai mang điểm CVSS là 7,7 với mức độ nghiêm trọng cao và ảnh hưởng đến các phiên bản 4.1.3.1 và 4.1.5.2 của All in One SEO.
Cụ thể, lỗ hổng nằm ở một điểm cuối API có tên là "/wp-json/aioseo/v1/objects". Nếu những kẻ tấn công khai thác lỗ hổng trước đó để nâng đặc quyền của họ lên cấp quản trị, chúng sẽ có khả năng truy cập điểm cuối và từ đó có thể gửi các lệnh SQL độc hại đến cơ sở dữ liệu back-end để truy xuất thông tin đăng nhập người dùng, thông tin quản trị viên và các dữ liệu nhạy cảm khác, theo Sucuri.
Tất cả người dùng All in One SEO nên cập nhật bản vá để an toàn, các nhà nghiên cứu cho biết. Các biên pháp an toàn khác bao gồm:
Các plugin WordPress tiếp tục là một con đường hấp dẫn để tấn công trang web của những kẻ tấn công mạng. Ví dụ, vào đầu tháng 12, một cuộc tấn công đã tăng lên nhanh chóng chống lại hơn 1,6 triệu trang web WordPress, các nhà nghiên cứu phát hiện ra hàng chục triệu nỗ lực khai thác bốn plugin khác nhau và một số chủ đề Framework Epsilon.
"Các plugin WordPress tiếp tục là một rủi ro lớn đối với bất kỳ ứng dụng web nào, khiến chúng trở thành mục tiêu thường xuyên cho những kẻ tấn công", Uriel Maimon, giám đốc cấp cao về công nghệ mới nổi tại PerimeterX, cho biết qua email. "Shadow code được giới thiệu thông qua các plugin và frameworks của bên thứ ba mở rộng bề mặt tấn công các trang web."
Cảnh báo được đưa ra khi các lỗi mới tiếp tục xuất hiện. Ví dụ, đầu tháng này, plugin "Variation Swatches for WooCommerce" đã bị phát hiện có chứa lỗ hổng XSS, được lưu trữ có thể cho phép những kẻ tấn công mạng inject vào các tập lệnh web độc hại và chiếm các trang web.
Vào tháng 10, hai lỗ hổng có độ nghiêm trọng cao trong Post Grid, một plugin WordPress với hơn 60.000 cài đặt, đã được tìm thấy để mở ra cánh cửa tiếp quản trang web, theo các nhà nghiên cứu. Để khởi động, các lỗi gần như giống hệt nhau cũng được tìm thấy trong plug-in Post Grid’s sister - Team Showcase.
Cũng trong tháng 10, một lỗi plugin WordPress đã được phát hiện trong dịch vụ Hashthemes Demo Importer, cho phép người dùng cơ bản có quyền xóa tất cả nội dung của trang web.
"Chủ sở hữu trang web cần phải cảnh giác về các plugin và frameworks của bên thứ ba và luôn cập nhật bảo mật", Maimon nói. "Họ nên bảo mật trang web của họ bằng tường lửa các ứng dụng web, cũng như các giải pháp hiển thị phía khách hàng có thể tiết lộ sự hiện diện của mã độc trên trang web của họ".
Theo các nhà nghiên cứu tại Sucuri: Kẻ tấn công có tài khoản với trang web - chẳng hạn như người đăng ký, chủ tài khoản mua sắm hoặc thành viên - có thể tận dụng các lỗ hổng, đó là một lỗi leo thang đặc quyền và SQL-injection.
"Các trang web WordPress mặc định cho phép bất kỳ người dùng nào trên web tạo tài khoản" - các nhà nghiên cứu cho biết trong một bài đăng hôm thứ tư. "Theo mặc định, các tài khoản mới được xếp hạng là người đăng ký và không có bất kỳ đặc quyền nào khác ngoài việc viết bình luận. Tuy nhiên, một số lỗ hổng nhất định, chẳng hạn như những lỗ hổng vừa được phát hiện, cho phép những người dùng mới này có nhiều đặc quyền hơn mặc định.
Cặp lỗ hổng này dễ dàng khai thác, vậy nên người dùng cần nâng cấp bản vá phiên bản v.4.1.5.3.
Leo thang đặc quyền và SQL Injection
Lỗ hổng nghiêm trọng hơn trong hai cặp lỗ hổng là lỗi leo thang đặc quyền, ảnh hưởng đến các phiên bản 4.0.0 và 4.1.5.2 của All in One SEO. Nó được đánh giá mức độ nghiêm trọng là 9,9 trên 10, do cực kỳ dễ khai thác. Thực tế, lỗ hổng này có thể bị sử dụng để thiết lập một backdoor trên máy chủ web.
Lỗ hổng "có thể bị khai thác bằng cách thay đổi một ký tự duy nhất của request thành chữ in hoa", các nhà nghiên cứu tại Sucuri giải thích.
Về cơ bản, plugin có thể gửi lệnh đến các điểm cuối REST API khác nhau và nó thực hiện kiểm tra quyền để đảm bảo không ai làm bất cứ điều gì họ không được phép làm. Tuy nhiên, các tuyến API REST thì phân biệt kí tự hoa thường, vì vậy kẻ tấn công chỉ cần thay đổi dạng hoa thường của một ký tự để vượt qua kiểm tra xác thực.
"Khi bị khai thác, lỗ hổng này có khả năng ghi đè lên một số tệp nhất định trong cấu trúc tệp WordPress, cho phép truy cập backdoor cho bất kỳ kẻ tấn công nào", các nhà nghiên cứu Sucuri cho biết. "Điều này sẽ cho phép tiếp quản trang web và có thể nâng cao đặc quyền của tài khoản người đăng ký thành quản trị viên."
Lỗi thứ hai mang điểm CVSS là 7,7 với mức độ nghiêm trọng cao và ảnh hưởng đến các phiên bản 4.1.3.1 và 4.1.5.2 của All in One SEO.
Cụ thể, lỗ hổng nằm ở một điểm cuối API có tên là "/wp-json/aioseo/v1/objects". Nếu những kẻ tấn công khai thác lỗ hổng trước đó để nâng đặc quyền của họ lên cấp quản trị, chúng sẽ có khả năng truy cập điểm cuối và từ đó có thể gửi các lệnh SQL độc hại đến cơ sở dữ liệu back-end để truy xuất thông tin đăng nhập người dùng, thông tin quản trị viên và các dữ liệu nhạy cảm khác, theo Sucuri.
Tất cả người dùng All in One SEO nên cập nhật bản vá để an toàn, các nhà nghiên cứu cho biết. Các biên pháp an toàn khác bao gồm:
- Xem xét người dùng quản trị viên trong hệ thống và loại bỏ bất kỳ người nghi ngờ nào.
- Thay đổi tất cả mật khẩu tài khoản người quản trị.
- Tăng độ khó bảo mật vào bảng quản trị viên.
Các plugin WordPress tiếp tục là một con đường hấp dẫn để tấn công trang web của những kẻ tấn công mạng. Ví dụ, vào đầu tháng 12, một cuộc tấn công đã tăng lên nhanh chóng chống lại hơn 1,6 triệu trang web WordPress, các nhà nghiên cứu phát hiện ra hàng chục triệu nỗ lực khai thác bốn plugin khác nhau và một số chủ đề Framework Epsilon.
"Các plugin WordPress tiếp tục là một rủi ro lớn đối với bất kỳ ứng dụng web nào, khiến chúng trở thành mục tiêu thường xuyên cho những kẻ tấn công", Uriel Maimon, giám đốc cấp cao về công nghệ mới nổi tại PerimeterX, cho biết qua email. "Shadow code được giới thiệu thông qua các plugin và frameworks của bên thứ ba mở rộng bề mặt tấn công các trang web."
Cảnh báo được đưa ra khi các lỗi mới tiếp tục xuất hiện. Ví dụ, đầu tháng này, plugin "Variation Swatches for WooCommerce" đã bị phát hiện có chứa lỗ hổng XSS, được lưu trữ có thể cho phép những kẻ tấn công mạng inject vào các tập lệnh web độc hại và chiếm các trang web.
Vào tháng 10, hai lỗ hổng có độ nghiêm trọng cao trong Post Grid, một plugin WordPress với hơn 60.000 cài đặt, đã được tìm thấy để mở ra cánh cửa tiếp quản trang web, theo các nhà nghiên cứu. Để khởi động, các lỗi gần như giống hệt nhau cũng được tìm thấy trong plug-in Post Grid’s sister - Team Showcase.
Cũng trong tháng 10, một lỗi plugin WordPress đã được phát hiện trong dịch vụ Hashthemes Demo Importer, cho phép người dùng cơ bản có quyền xóa tất cả nội dung của trang web.
"Chủ sở hữu trang web cần phải cảnh giác về các plugin và frameworks của bên thứ ba và luôn cập nhật bảo mật", Maimon nói. "Họ nên bảo mật trang web của họ bằng tường lửa các ứng dụng web, cũng như các giải pháp hiển thị phía khách hàng có thể tiết lộ sự hiện diện của mã độc trên trang web của họ".
Nguồn: Threatpost