Một chiến dịch tấn công lớn nhắm vào hai plugin WordPress phổ biến - Elementor Pro và Ultimate Add-on cho Elementor đã được xác định. Hơn một triệu trang web WordPress có cài đặt các plugin này là một mục tiêu nóng. Kể từ khi khai thác zero-day lần đầu tiên được đưa ra ánh sáng, các nhà phát triển plugin của Elementor và Ultimate Addons cho Elementor đã vội vã vá lỗ hổng. Cả hai plugin đều đã nhận được các bản vá trong các phiên bản cập nhật của chúng, đó là:
- Elementor Pro:2.9.4
- Bổ trợ cuối cùng cho Elementor:1.24.2
Vui lòng cập nhật lên các phiên bản này từ bất kỳ phiên bản nào trước đó mà bạn có thể có nếu bạn chưa có.
Cập nhật vào ngày 6 tháng 6 năm 2020: Một lỗ hổng XSS được lưu trữ quan trọng khác đã được phát hiện trong plugin Elementor Page Builder. Lỗ hổng này cho phép người dùng cấp tác giả tạo các liên kết tùy chỉnh với tải trọng XSS độc hại có thể có và tạo các thuộc tính tùy chỉnh cho các tiện ích con, điều này lại trở thành một rủi ro XSS được lưu trữ. Bản vá đã được phát hành trong phiên bản 2.9.10 . Vui lòng cập nhật lên phiên bản này càng sớm càng tốt.
Thông tin thêm về vụ hack…
Một lỗ hổng trong Elementor Pro cho phép Thực thi mã từ xa trên các trang web WP có đăng ký mở. Lỗ hổng bắt nguồn từ quyền tải lên tệp được cấp cho người dùng cấp độ người đăng ký. Người đăng ký được phép tải lên các bộ biểu tượng (ở định dạng zip) trên trang web.
Vì Elementor Pro cũng thiếu kiểm tra xác thực nên nó cho phép tải lên các phần mở rộng và nội dung có vấn đề. Vì vậy, một tin tặc có xác thực mức tối thiểu hiện có thể tải lên tệp .zip có mã độc thực thi. Khi mã được thực thi, kẻ tấn công có thể làm bất cứ điều gì. Từ tải lên shell hoặc phần mềm độc hại đến chèn backdoor, thêm người dùng giả mạo, giành quyền truy cập quản trị, sửa đổi cài đặt, thậm chí xóa toàn bộ trang web.
Trong bản vá mà Elementor Pro phát hành, nó hiện đã thêm đoạn mã sau để xác thực nội dung tệp của zip. Vì vậy, chỉ các định dạng tệp CSS, EOT, HTML, JSON, OTF, SVG, v.v. mới được phép tải lên.
Họ đã thêm một bản vá khác để chỉ cho phép người dùng được ủy quyền (với cấp truy cập là Quản trị viên và Quản trị viên cấp cao) tải tệp lên. Nếu người dùng với vai trò người đăng ký cố gắng tải lên một tệp zip, nó sẽ gây ra lỗi.
Plugin tiện ích bổ sung Ultimate không thiếu các quy tắc tải tệp lên như vậy. Tuy nhiên, nó cho phép bất kỳ ai có quyền truy cập ở cấp độ người đăng ký vào một trang web. Ngay cả khi không có biểu mẫu đăng ký đang hoạt động.
Lỗ hổng này trong Ultimate Addons cho Elementor cung cấp nền tảng cho tin tặc, cho phép chúng khai thác lỗ hổng RCE quan trọng hơn trong Elementor Pro. Vì vậy, ngay cả khi một trang web không lưu trữ biểu mẫu đăng ký, kẻ tấn công có thể tự thêm mình làm người đăng ký, đây là yêu cầu tối thiểu để khai thác lỗ hổng RCE trong Elementor Pro.
Ở đây, chúng ta phải đề cập rằng lỗ hổng chỉ nằm trong Elementor Pro và người dùng phiên bản miễn phí của Elementor được an toàn trước cuộc tấn công.
Kiểm soát thiệt hại!
Nếu bạn là khách hàng của Astra, bạn không cần phải lo lắng vì Astra đã chặn tải lên các tệp như vậy. Để chắc chắn hơn, bạn có thể đăng nhập vào trang tổng quan của mình, điều hướng đến Cài đặt>> Quy tắc tải lên tệp và xem liệu phím chuyển đổi đã được bật chưa.
Nếu bạn muốn chặn các tiện ích mở rộng bổ sung, bạn cũng có thể thêm quy tắc tải tệp lên để ngăn chặn tất cả các nỗ lực tải lên độc hại như vậy.
Tất cả những người dùng khác của Elementor Pro và Ultimate Add-on cho Elementor nên cập nhật lên phiên bản vá. Các phiên bản được vá, như tôi đã đề cập là - 2.9.4 cho Elementor Pro và 1.24.2 cho các tiện ích bổ sung cuối cùng cho Elementor.
Nếu bạn bị tấn công, bạn có thể được Astra dọn dẹp phần mềm độc hại ngay lập tức (mất dưới 4 giờ) và khôi phục trang web của bạn về trạng thái bình thường.
Sau khi đảm bảo các bản cập nhật, hãy đảm bảo làm theo hướng dẫn bảo mật WordPress này để tăng cường bảo mật.