-
09/04/2020
-
115
-
1.167 bài viết
Service Finder lộ lỗ hổng, hàng loạt website WordPress có thể mất quyền quản trị
Các chuyên gia an ninh mạng vừa phát cảnh báo về lỗ hổng nghiêm trọng CVE-2025-5947 trong giao diện Service Finder của WordPress, hiện đang bị tin tặc khai thác tích cực để chiếm quyền quản trị website. Lỗ hổng cho phép kẻ tấn công vượt qua cơ chế xác thực, đăng nhập trực tiếp với quyền quản trị viên, từ đó chỉnh sửa nội dung, tạo tài khoản mới, tải lên tệp PHP hoặc trích xuất cơ sở dữ liệu mà không gặp bất kỳ giới hạn nào.
Theo thống kê của Wordfence, kể từ ngày 1/8, hơn 13.800 lượt khai thác đã được ghi nhận, cho thấy chiến dịch tấn công có quy mô lớn và đang lan rộng nhanh chóng. Service Finder là một giao diện WordPress cao cấp, được nhiều trang web dịch vụ và sàn việc làm sử dụng nhờ tích hợp các tính năng đặt lịch, phản hồi khách hàng, quản lý nhân viên, xuất hóa đơn và thanh toán. Với hơn 6.000 lượt bán trên Envato Market, phần lớn đang được triển khai trên các website thực tế, khiến nguy cơ lan truyền lỗ hổng này càng đáng lo ngại.
Lượng tấn công nhắm vào lỗ hổng CVE-2025-5947
Nguồn: Wordfence
CVE-2025-5947 được đánh giá mức độ nghiêm trọng 9.8 trên thang CVSS, ảnh hưởng đến tất cả các phiên bản Service Finder 6.0 trở về trước. Nguyên nhân xuất phát từ lỗi xác thực cookie original_user_id trong hàm service_finder_switch_back(). Khi gửi yêu cầu HTTP chứa tham số switch_back=1, kẻ tấn công có thể mạo danh bất kỳ người dùng nào, kể cả quản trị viên, mà không cần qua bước đăng nhập hợp lệ.
Lỗ hổng được nhà nghiên cứu bảo mật Foxyyy phát hiện và báo cáo từ tháng 6. Nhà phát triển đã vá trong phiên bản 6.1 phát hành giữa tháng 7. Tuy nhiên, ngay sau khi thông tin kỹ thuật được công bố, các chiến dịch khai thác bắt đầu bùng phát chỉ sau một ngày, với hàng nghìn lượt tấn công mỗi ngày trong giai đoạn cao điểm cuối tháng 9.
Phân tích cho thấy phần lớn lưu lượng tấn công đến từ một số địa chỉ IP cụ thể như 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 và 178.125.204.198. Việc chặn các IP này chỉ là giải pháp tạm thời, bởi tin tặc hoàn toàn có thể thay đổi dải địa chỉ để tiếp tục hoạt động.
Hiện không có chỉ dấu rõ ràng cho phép quản trị viên biết website đã bị khai thác hay chưa, ngoài việc rà soát log chứa tham số switch_back. Tuy nhiên, việc không phát hiện dấu vết không đồng nghĩa hệ thống an toàn, bởi sau khi chiếm quyền, kẻ tấn công có thể xóa nhật ký hoặc chỉnh sửa cấu hình để che giấu hành vi. Các chuyên gia khuyến nghị quản trị viên kiểm tra kỹ các tài khoản mới được tạo, đăng nhập bất thường và thay đổi gần đây trong hệ thống.
Trước tình trạng khai thác đang diễn ra mạnh mẽ, người dùng Service Finder được khuyến cáo khẩn trương cập nhật lên phiên bản mới nhất hoặc tạm thời ngừng sử dụng chủ đề này cho đến khi đảm bảo an toàn.
Theo thống kê của Wordfence, kể từ ngày 1/8, hơn 13.800 lượt khai thác đã được ghi nhận, cho thấy chiến dịch tấn công có quy mô lớn và đang lan rộng nhanh chóng. Service Finder là một giao diện WordPress cao cấp, được nhiều trang web dịch vụ và sàn việc làm sử dụng nhờ tích hợp các tính năng đặt lịch, phản hồi khách hàng, quản lý nhân viên, xuất hóa đơn và thanh toán. Với hơn 6.000 lượt bán trên Envato Market, phần lớn đang được triển khai trên các website thực tế, khiến nguy cơ lan truyền lỗ hổng này càng đáng lo ngại.
Lượng tấn công nhắm vào lỗ hổng CVE-2025-5947
Nguồn: Wordfence
Lỗ hổng được nhà nghiên cứu bảo mật Foxyyy phát hiện và báo cáo từ tháng 6. Nhà phát triển đã vá trong phiên bản 6.1 phát hành giữa tháng 7. Tuy nhiên, ngay sau khi thông tin kỹ thuật được công bố, các chiến dịch khai thác bắt đầu bùng phát chỉ sau một ngày, với hàng nghìn lượt tấn công mỗi ngày trong giai đoạn cao điểm cuối tháng 9.
Phân tích cho thấy phần lớn lưu lượng tấn công đến từ một số địa chỉ IP cụ thể như 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 và 178.125.204.198. Việc chặn các IP này chỉ là giải pháp tạm thời, bởi tin tặc hoàn toàn có thể thay đổi dải địa chỉ để tiếp tục hoạt động.
Hiện không có chỉ dấu rõ ràng cho phép quản trị viên biết website đã bị khai thác hay chưa, ngoài việc rà soát log chứa tham số switch_back. Tuy nhiên, việc không phát hiện dấu vết không đồng nghĩa hệ thống an toàn, bởi sau khi chiếm quyền, kẻ tấn công có thể xóa nhật ký hoặc chỉnh sửa cấu hình để che giấu hành vi. Các chuyên gia khuyến nghị quản trị viên kiểm tra kỹ các tài khoản mới được tạo, đăng nhập bất thường và thay đổi gần đây trong hệ thống.
Trước tình trạng khai thác đang diễn ra mạnh mẽ, người dùng Service Finder được khuyến cáo khẩn trương cập nhật lên phiên bản mới nhất hoặc tạm thời ngừng sử dụng chủ đề này cho đến khi đảm bảo an toàn.
Theo Bleeping Computer