Lỗ hổng leo thang đặc quyền
Lỗ hổng được gán mã định danh CVE-2025-4322, hoạt động độc hại này đã được các nhà nghiên cứu Wordfence (một plugin bảo mật của WordPress do công ty Defiant Inc đến từ Mỹ phát triển) phát hiện và cảnh báo vào tháng trước về mức độ nghiêm trọng, đồng thời kêu gọi người dùng cập nhật bản vá ngay lập tức. Theo các nhà nghiên cứu, lỗ hổng CVE-2025-4322 ảnh hưởng đến tất cả các phiên bản 5.6.67 trở về trước.
Wordfence cho biết, lỗ hổng leo thang đặc quyền này tồn tại do xác thực danh tính người dùng không phù hợp trong quá trình cập nhật mật khẩu, cho phép kẻ tấn công chưa xác thực thay đổi mật khẩu quản trị viên tùy ý.
Motors, được phát triển bởi nhà cung cấp StylemixThemes, là một chủ đề (theme) WordPress phổ biến trong các trang web liên quan đến ô tô, nó có 22.460 lượt bán trên EnvatoMarket và được hỗ trợ bởi một cộng đồng người dùng rộng lớn. StylemixThemes đã phát hành Motors phiên bản 5.6.68 để khắc phục lỗ hổng CVE-2025-4322 vào ngày 14/5/2025, thế nhưng nhiều người dùng đã không áp dụng bản cập nhật và phải đối mặt với nguy cơ khai thác cao hơn.
Như Wordfence xác nhận trong một báo cáo mới đây, các cuộc tấn công bắt đầu vào ngày 20/5, chỉ một ngày sau khi họ công khai tiết lộ thông tin chi tiết. Các cuộc tấn công trên diện rộng đã được quan sát vào ngày 7/6/2025, Wordfence cho biết đã ngăn chặn 23.100 nỗ lực tấn công vào lỗ hổng CVE-2025-4322.
Hình 1. Tần suất tấn công theo ngày
Quá trình tấn công và dấu hiệu vi phạm
Theo các nhà nghiên cứu, lỗ hổng này nằm trong tiện ích đăng nhập và đăng ký trong Motors, bao gồm chức năng khôi phục mật khẩu. Kẻ tấn công trước tiên sẽ xác định vị trí URL của tiện ích này bằng cách thăm dò /login-register, /account, /reset-password, /signin,… bằng các yêu cầu POST được thiết kế đặc biệt cho đến khi chúng tấn công.
Yêu cầu POST chứa các ký tự UTF-8 không hợp lệ trong giá trị “hash_check” độc hại. Trong khi đó, nội dung POST chứa giá trị “stm_new_password” để đặt lại mật khẩu, nhắm mục tiêu đến ID người dùng.
Hình 2. Ví dụ các yêu cầu POST độc hại
Mật khẩu do tin tặc thiết lập phần lớn bao gồm: Testtest123!@#; rzkkd$SP3znjrn; Kurd@Kurd12123; owm9cpXHAZTk; db250WJUNEiG. Sau khi giành được quyền truy cập, kẻ tấn công sẽ đăng nhập vào bảng điều khiển WordPress với tư cách quản trị và tạo tài khoản quản trị viên mới để duy trì hoạt động.
Các nhà nghiên cứu cho rằng, nếu xuất hiện một số tài khoản bất thường kết hợp với tài khoản quản trị viên bị khóa (mật khẩu không còn hoạt động) là dấu hiệu của việc khai thác CVE-2025-4322. Wordfence cũng đã công bố một số địa chỉ IP liên quan đến các cuộc tấn công này trong báo cáo, những chủ sở hữu trang web WordPress được khuyến nghị nên đưa chúng vào danh sách chặn (blacklist), quý độc giả có thể theo dõi tại đây.