Được phát hiện bởi các nhà nghiên cứu RIPS Technologies (Đức), lỗ hổng này được đánh giá nghiêm trọng gây ảnh hưởng tới tất cả website sử dụng WordPress. Mặc dù đã được báo cáo cho nhóm an ninh mạng của WordPress từ cuối năm 2017, tuy nhiên cho tới nay, vẫn chưa có bản vá chính thức từ các nhà phát triển cho lỗ hổng này.
Phạm vi ảnh hưởng
Hiện tại, tất cả các phiên bản của WordPress (bao gồm phiên bản mới nhất là 4.9.6) đều tồn tại lỗ hổng này.
Lỗ hổng nằm trong chức năng xóa bài viết của WordPress. Tin tặc có thể lợi dụng việc gửi yêu cầu để chèn vào các đoạn mã độc hại, từ đó, có thể xóa bất cứ tập tin nào trên máy chủ. Để khai thác được lỗ hổng, tin tặc cần có quyền chỉnh sửa và xóa các tập tin đa phương tiện. Vì vậy, lỗ hổng này chỉ có thể thực hiện leo thang đặc quyền khi có tài khoản với quyền đăng bài (author), hoặc kết hợp với một lỗ hổng khác hay khai thác dựa trên cấu hình sai.
Những tác hại mà tin tặc có thể gây ra
Nếu khai thác thành công lỗ hổng, tin tặc sẽ có quyền xóa bất cứ tập tin nào trong bộ cài đặt WordPress, hoặc trong máy chủ khi người dùng được quyền xóa thông qua tiến trình PHP, từ đó, tin tặc sẽ thực thi mã độc trên trình duyệt web. Cụ thể, những loại tệp tin có thể bị xóa bao gồm:
Chi tiết kỹ thuật
Trong PHP, lỗ hổng này xảy ra khi hàm unlink() được khởi chạy và dữ liệu đầu vào của người dùng có thể tác động đến các thành phần của tham số $filename mà không qua quá trình chuẩn hóa.
Dưới đây là đoạn mã chứa lỗ hổng được tìm thấy ở tập tin wp-include/post.php.
function wp_delete_attachment( $post_id, $force_delete = false ) {
⋮
$meta = wp_get_attachment_metadata( $post_id );
⋮
if ( ! empty($meta['thumb']) ) {
// Don't delete the thumb if another attachment uses it.
if (! $wpdb->get_row( $wpdb->prepare( "SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = '_wp_attachment_metadata' AND meta_value LIKE %s AND post_id <> %d", '%' . $wpdb->esc_like( $meta['thumb'] ) . '%', $post_id)) ) {
$thumbfile = str_replace(basename($file), $meta['thumb'], $file);
/** This filter is documented in wp-includes/functions.php */
$thumbfile = apply_filters( 'wp_delete_file', $thumbfile );
@ unlink( path_join($uploadpath['basedir'], $thumbfile) );
}
}
⋮
}
Trong hàm wp_delete_attachement(), nội dung của $meta[‘thumb’] được dùng khi gọi hàm unlink() mà không chuẩn hóa. Đoạn mã này được dùng để xóa tập tin thumbnail của một ảnh cùng lúc với việc xóa ảnh đó. Ảnh được tải lên qua trình quản lý đa phương tiện của WordPress được coi là một loại tệp đính kèm. Giá trị $meta[‘thumb’] được lưu dưới dạng Custom Field của ảnh. Vì vậy, khi lấy giá trị đại diện cho tên tập tin thumbnail dùng cho gọi hàm unlink() từ cơ sở dữ liệu, đã không qua quá trình chuẩn hóa hay kiểm tra nào. Nếu không có biện pháp bảo mật nào khác trước khi được lưu vào cơ sở dữ liệu, thì sẽ tồn tại lỗ hổng xóa tệp tùy ý.
⋮
switch($action) {
⋮
case 'editattachment':
check_admin_referer('update-post_' . $post_id);
⋮
// Update the thumbnail filename
$newmeta = wp_get_attachment_metadata( $post_id, true );
$newmeta['thumb'] = $_POST['thumb'];
wp_update_attachment_metadata( $post_id, $newmeta );
Đoạn mã trên cho thấy giữa quá trình lấy giá trị $_POST[‘thumb’] và lưu vào cơ sở dữ liệu wp_update_attachment_metadata() không có biện pháp bảo mật để đảm bảo giá trị này thực sự là của tập tin thumbnail của tệp đính kèm. Giá trị $_POST[‘thumb’] có thể bao gồm đường dẫn của bất kỳ tập tin nào và sẽ bị xóa cùng tệp đính kèm.
Cách khắc phục
Trong khi chờ đợi bản vá chính thức từ nhà phát triển, các quản trị viên có thể tạm thời thực hiện các phương án sau đây:
add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
function rips_unlink_tempfix( $data ) {if( isset($data['thumb']) ) {$data['thumb'] = basename($data['thumb']);}return $data;}
Vân Ngọc
Theo ripstech.com
09:00 | 24/08/2018
10:00 | 11/09/2018
09:00 | 01/02/2018
09:18 | 10/07/2017
16:00 | 18/04/2019
22:00 | 26/01/2020
09:00 | 20/01/2017
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
10:00 | 07/05/2024