Hơn 280.000 trang web WordPress bị tấn công bằng cách sử dụng plugin WPGateway Lỗ hổng bảo mật Zero-Day

Trang web WordPress

Một zero-day trong phiên bản plugin cao cấp mới nhất của được gọi là WPGateway đang được khai thác tích cực, có khả năng cho phép các tác nhân độc hại tiếp quản hoàn toàn các trang web bị ảnh hưởng.

Theo dõi là CVE-2022-3180 (Điểm CVSS: 9,8), vấn đề đang được vũ khí hóa để thêm người dùng quản trị viên độc hại vào các trang web chạy plugin WPGateway, công ty bảo mật WordPress Wordfence lưu ý.

Nhà nghiên cứu Ram Gall của Wordfence cho biết: “Một phần chức năng của plugin cho phép những kẻ tấn công không được xác thực có thể chèn một quản trị viên độc hại”.

WPGateway được lập hóa đơn như một phương tiện để quản trị viên trang cài đặt, sao lưu và sao chép các plugin và chủ đề WordPress từ một trang tổng quan thống nhất.

Dấu hiệu phổ biến nhất cho thấy trang web chạy plugin đã bị xâm phạm là sự hiện diện của quản trị viên có tên người dùng “rangex”.

Ngoài ra, sự xuất hiện của các yêu cầu “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” trong nhật ký truy cập là một dấu hiệu cho thấy trang web WordPress đã được nhắm mục tiêu bằng cách sử dụng lỗ hổng, mặc dù nó không nhất thiết ngụ ý vi phạm thành công.

Wordfence cho biết họ đã chặn hơn 4,6 triệu cuộc tấn công cố gắng lợi dụng lỗ hổng bảo mật nhằm vào hơn 280.000 trang web trong 30 ngày qua.

Xem tiếp:   CISA bổ sung 7 lỗ hổng mới được khai thác tích cực vào danh mục

Các chi tiết khác về lỗ hổng bảo mật đã được giữ lại do hoạt động khai thác tích cực và để ngăn các tác nhân khác lợi dụng lỗ hổng. Trong trường hợp không có bản vá, người dùng nên xóa plugin khỏi cài đặt WordPress của họ cho đến khi có bản sửa lỗi.

Sự phát triển diễn ra vài ngày sau khi Wordfence cảnh báo về việc lạm dụng tự nhiên một lỗ hổng zero-day khác trong một có tên là BackupBuddy.

Tiết lộ cũng đến khi Sansec tiết lộ rằng các kẻ đe dọa đã đột nhập vào hệ thống cấp phép mở rộng của FishPig, một nhà cung cấp tích hợp Magento-WordPress phổ biến, để đưa mã độc hại được thiết kế để cài đặt một trojan truy cập từ xa có tên là Rekoobe.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …