Ngày 02 tháng 1 năm 2023Ravie LakshmananBảo mật web / Linux
Các trang web WordPress đang bị nhắm mục tiêu bởi một dòng phần mềm độc hại Linux chưa từng được biết đến trước đây. Phần mềm này khai thác các lỗ hổng trong hơn hai chục plugin và chủ đề để xâm phạm các hệ thống dễ bị tấn công.
“Nếu các trang web sử dụng các phiên bản lỗi thời của các tiện ích bổ sung như vậy, thiếu các bản sửa lỗi quan trọng, các trang web được nhắm mục tiêu sẽ bị tiêm JavaScripts độc hại”, nhà cung cấp bảo mật Doctor Web của Nga cho biết trong một báo cáo được công bố vào tuần trước. “Kết quả là, khi người dùng nhấp vào bất kỳ khu vực nào của trang bị tấn công, họ sẽ được chuyển hướng đến các trang khác.”
Các cuộc tấn công liên quan đến việc vũ khí hóa danh sách các lỗ hổng bảo mật đã biết trong 19 plugin và chủ đề khác nhau có khả năng được cài đặt trên một trang web WordPress, sử dụng nó để triển khai một bộ cấy có thể nhắm mục tiêu một trang web cụ thể để tiếp tục mở rộng mạng.
Nó cũng có khả năng tiêm mã JavaScript được lấy từ một máy chủ từ xa để chuyển hướng khách truy cập trang web đến một trang web tùy ý mà kẻ tấn công lựa chọn.
Doctor Web cho biết họ đã xác định được phiên bản thứ hai của cửa hậu, sử dụng miền lệnh và kiểm soát (C2) mới cũng như danh sách các lỗi được cập nhật bao gồm 11 plugin bổ sung, nâng tổng số lên 30.
Các plugin và chủ đề được nhắm mục tiêu bên dưới –
Cả hai biến thể được cho là bao gồm một phương pháp chưa được triển khai cho các tài khoản quản trị viên WordPress bắt buộc vũ phu, mặc dù không rõ liệu đó có phải là phần còn lại của phiên bản cũ hơn hay một chức năng chưa được đưa ra ánh sáng.
Công ty cho biết: “Nếu một tùy chọn như vậy được triển khai trong các phiên bản mới hơn của cửa hậu, tội phạm mạng thậm chí sẽ có thể tấn công thành công một số trang web sử dụng các phiên bản plugin hiện tại với các lỗ hổng đã được vá”.
Người dùng WordPress nên cập nhật tất cả các thành phần của nền tảng, bao gồm các chủ đề và tiện ích bổ sung của bên thứ ba. Bạn cũng nên sử dụng thông tin đăng nhập và mật khẩu mạnh và duy nhất để bảo mật tài khoản của mình.
Tiết lộ được đưa ra vài tuần sau khi Fortinet FortiGuard Labs trình bày chi tiết về một mạng botnet khác có tên GoTrim được thiết kế để tấn công các trang web tự lưu trữ bằng cách sử dụng hệ thống quản lý nội dung WordPress (CMS) để giành quyền kiểm soát các hệ thống được nhắm mục tiêu.
Tháng trước, Sucuri đã lưu ý rằng hơn 15.000 trang web WordPress đã bị xâm phạm như một phần của chiến dịch độc hại nhằm chuyển hướng khách truy cập đến các cổng hỏi đáp không có thật. Số ca nhiễm đang hoạt động hiện là 9.314.
Công ty bảo mật trang web thuộc sở hữu của GoDaddy, vào tháng 6 năm 2022, cũng đã chia sẻ thông tin về một hệ thống định hướng lưu lượng truy cập (TDS) có tên là Parrot đã được quan sát thấy nhắm mục tiêu các trang web WordPress bằng JavaScript lừa đảo. Hệ thống này sẽ thả thêm phần mềm độc hại vào các hệ thống bị tấn công.
