Đầu tháng 05/2020, hơn 900.000 website WordPress đã bị tấn công bởi một tác nhân độc hại chưa được xác định trong một chiến dịch tấn công quy mô lớn. Defiant - công ty phát triển các plugin bảo mật Wordfence cho nền tảng xuất bản web (Mỹ) cho biết, họ bắt đầu phát hiện và theo dõi sự gia tăng đột biến của số lượng các cuộc tấn công đặc biệt nhắm vào các lỗ hổng Cross-Site Scripting (XSS) vào ngày 28/4/2020. Chiến dịch tấn công quy mô lớn này đã khiến lưu lượng tấn công tăng gấp 30 lần.
Dựa trên payload độc hại, Defiant nghi ngờ rằng hầu hết các cuộc tấn công này được thực hiện bởi một tác nhân độc hại riêng lẻ. Theo Ram Gall - kỹ sư đảm bảo chất lượng sản phẩm của Wordfence, kẻ tấn công đã bắt đầu với một số lượng tấn công nhỏ và đã không tăng cường tấn công cho đến ngày 03/5/2020, khi chiến dịch tấn công đạt đỉnh điểm với 20 triệu tấn công nhắm vào hơn nửa triệu website.
“Trong suốt tháng 04/2020, chúng tôi đã phát hiện tổng cộng hơn 24.000 địa chỉ IP riêng biệt gửi yêu cầu tương tự với các tấn công tới hơn 900.000 website”, Ram Gall cho biết thêm. Lỗ hổng XSS cũng như các lỗ hổng khác đã cho phép tin tặc chèn mã độc vào các website, sau đó chuyển hướng khách truy cập đến các website quảng cáo độc hại.
Đáng chú ý là các bản cập nhật bảo mật cho các lỗ hổng đang được khai thác đều đã có sẵn. Các bản vá này đã được phát hành trong vài tháng, thậm chí trong một số trường hợp là vài năm trước.
Ba trong số năm lỗ hổng được nhắm mục tiêu có liên quan đến XSS. Một lỗ hổng ảnh hưởng đến plugin Easy2Map, liên quan đến hơn một nửa các cuộc tấn công và có khả năng được cài đặt trên khoảng 3.000 website. Lỗ hổng thứ hai nằm trong Blog Designer và đã được vá vào năm 2019. Lỗ hổng này đã được nhắm mục tiêu trước đây và Defiant ước tính rằng có khoảng 1.000 website đã cài đặt bản chưa được vá. Lỗ hổng XSS thứ ba nằm trong chủ đề Newspaper, cũng là mục tiêu của các cuộc tấn công trước đây và đã được vá từ năm 2016.
Hai lỗ hổng cuối cùng là tùy chọn cập nhật cho lỗ hổng. Một lỗ hổng ảnh hưởng đến plugin WP GDPR Compliance đã được vá từ năm 2018. ESET cũng đã có bài viết về một chiến dịch tấn công cố gắng chiếm quyền kiểm soát các website qua việc lợi dụng plugin này. Lỗ hổng còn lại ảnh hưởng đến plugin Total Donations đã được loại bỏ vĩnh viễn khỏi Envato Marketplace vào năm 2019. Hai lỗ hổng này cho phép tin tặc thay đổi địa chỉ home của website.
Các nhà nghiên cứu nghi ngờ rằng, tin tặc có đủ kỹ năng để nhắm vào các lỗ hổng khác trong tương lai. Lời khuyên tốt nhất cho quản trị viên website WordPress đó là: giữ phần mềm WordPress cốt lõi và cập nhật tất cả các plugin. Điều quan trọng không kém là xóa tất cả các plugin không còn được hỗ trợ hoặc không cần thiết, vì chúng sẽ làm gia tăng phạm vi tấn công trên nền tảng WordPress.
T.U
22:00 | 26/01/2020
16:00 | 18/04/2019
09:00 | 26/01/2021
13:00 | 16/09/2022
09:00 | 24/08/2018
08:00 | 06/06/2020
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024