Hacker lợi dụng lỗ hổng trong plugin AMP cho WP tiến hành cuộc tấn công XSS

Các nhà nghiên cứu vừa phát hiện lỗ hổng bảo mật quan trọng trong plugin AMP cho Wordpress, cho phép người dùng bất kỳ đã đăng ký thực hiện các tác vị Admin trên trang web Wordpress. Theo đó hacker có thể lợi dụng lỗ hổng trong plugin AMP cho WP tiến hành cuộc tấn công XSS, cài đặt backdoor và tạo các tài khoản Admin giả mạo trên trang web Wordpress dễ bị tấn công.

Nguyên nhân gây ra các lỗ hổng bảo mật trong plugin AMP cho WP là do Nonce trên các phiên bản plugin cũ hơn mà người dùng sử dụng không được kiểm tra một cách nghiêm ngặt. Phiên bản plugin mới (0.9.97.20) được phát hành cách đây 2 tuần đã khắc phục các lỗ hổng này.

hacker loi dung lo hong trong plugin amp cho wp tien hanh cuoc tan cong xss

Hacker lợi dụng lỗ hổng trong plugin AMP cho WP tiến hành cuộc tấn công XSS

Đáng tiếc là một số người dùng không hề biết đến thông tin về các lỗ hổng bảo mật này và không cập nhật phiên bản phần mềm mới nhất để vá lỗi, vô hình chung điều này tạo bước đệm tốt cho các cuộc tấn công.

Tải về phiên bản WordPress mới nhất tại đây : Download WordPress

Theo nghiên cứu của nhà phân tích mối đe dọa WordFence, Mikey Veenstra, một chiến dịch mới đang được tiến hành, lợi dụng các lỗ hổng này để thực hiện một cuộc tấn công XSS, ngăn quyền của các Amin trang web bằng cách phát tán file script độc hại trên các trang WordPress dễ bị tấn công.

Trả lời với BleepingComputer, nhà nghiên cứu cho biết: "Tất cả các lần xuất hiện các cuộc tấn công đều tự động hóa. Với sự hiện diện của chuỗi User-Agent bị phá vỡ, 'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv' trên tất cả các cuộc tấn công được xác định trong chiến dịch này, cũng như định dạng payload phù hợp bất chấp số lượng lớn các địa chỉ IP tấn công , không chắc liệu các cuộc tấn công này có đang được thực hiện theo cách thủ công hay không".

File script độc hại này được lưu trữ tại URL https://sslapis[.]com/assets/si/stat.js, và khi được thực thi trên trình duyệt của Admin, nó sẽ tạo người dùng Admin giả mạo mới trên trang web.

"Sau khi tạo phần tử iframe ẩn trên trang đang được xem bởi Admin bị ảnh hưởng, script mô phỏng quá trình điền vào biểu mẫu người dùng mới. Là một phần trong quá trình này, nó sẽ chọn vai trò Admin và gửi một sự kiện click () tới nút Submit (nút gửi) để tạo một người dùng mới có quyền truy cập Admin", theo nghiên cứu của Veenstra.

Khi tài khoản Admin giả mạo được thêm vào, tài khoản này sẽ được cấu hình với tên người dùng supportuser và email supportuser72019@gmail.com như trong đoạn mã dưới đây.

hacker loi dung lo hong trong plugin amp cho wp tien hanh cuoc tan cong xss 2

Sau khi thêm một người dùng mới, script sẽ liệt kê tất cả các plugin đã cài đặt và tiêm backdoor PHP vào từng plugin một.

hacker loi dung lo hong trong plugin amp cho wp tien hanh cuoc tan cong xss 3

Các backdoor được thêm sẽ được mã hóa bằng cách sử dụng mã hóa base64, nhưng giải mã như mã PHP, sau đó sử dụng hàm extract () để gán dữ liệu người dùng nhập vào các biến môi trường được thực thi bởi hàm die ().

hacker loi dung lo hong trong plugin amp cho wp tien hanh cuoc tan cong xss 4

Backdoor này hoạt động bằng cách đọc các biến được nối vào URL của plugin đã được cài đặt backdoor và gán chúng làm biến môi trường bằng cách sử dụng hàm extract (). Sau đó backdoor sẽ thực thi hàm die (), gọi bất cứ lệnh nào được chèn vào như biến cdate với đối số cho hàm đó.

Vì AMP là plugin WP khá phổ biến, mức độ nghiêm trọng của lỗ hổng và các cuộc tấn công liên tục, tất cả người dùng được khuyến cáo nên cẩn trọng khi Cài đặt Plugin trong WordPress và xóa tài khoản Admin giả mạo supportuser hoặc bất kỳ tài khoản Admin không xác định, đồng thời cập nhật lên phiên bản plugin AMP 0.9.97.20 hoặc cao hơn.

Script cũng kích hoạt plugin WooCommerce

Đáng nói là file script XSS cũng chứa một hàm để kích hoạt plugin WooCommerce. Script sẽ kết nối với trang plugin.php WordPress, trong đó chứa danh sách các plugin và các link để kích hoạt. Sau đó, script sẽ tìm kiếm plugin WooCommerce và kích hoạt plugin này nếu phát hiện.

hacker loi dung lo hong trong plugin amp cho wp tien hanh cuoc tan cong xss 5

WooCommerce cũng là một trong số các plugin WordPress phổ biến được phát hiện có chứa các lỗ hổng cho phép người dùng truy cập dưới quyền Admin.

Theo BleepingComputer, nhà nghiên cứu bảo mật của WordFence giả định script có thể được sử dụng cho các payload được tải xuống từ máy chủ C2.

https://thuthuat.taimienphi.vn/hacker-loi-dung-lo-hong-trong-plugin-amp-cho-wp-tien-hanh-cuoc-tan-cong-xss-41075n.aspx
"Script được sử dụng từ máy chủ C2 cũng định nghĩa hàm 'EnableReplace', điều này tạo ra các thay đổi nội tuyến cho các trang WooCommerce cụ thể, nếu có. Không rõ tại sao JavaScript được sử dụng để khởi động giai đoạn tấn công này, vì tài khoản Admin và backdoor PHP sẽ cho phép kẻ tấn công thực hiện bất kỳ thay đổi trực tiếp nào đối với WooCommerce mà họ mong muốn. Chúng tôi giả định máy chủ C2 sẽ triển khai thêm payload XSS dễ dàng hơn bởi những thay đổi nội tuyến này".

Tác giả: An Nguy     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Top plugin tối ưu hình ảnh WordPress tốt nhất
5 plugin tối ưu hóa hình ảnh tốt nhất cho WordPress
Phát hiện lỗ hổng mới trong ứng dụng Signal Desktop cho phép hacker đánh cắp tin nhắn
Cách cài đặt WordPress
Cách thêm các file Media trong WordPress
Từ khoá liên quan:

Hacker lợi dụng lỗ hổng trong plugin AMP

, lỗ hổng trong plugin AMP, cuộc tấn công XSS,

SOFT LIÊN QUAN
  • WordPress cho Android

    Ứng dụng quản lý trang web WordPress trên mobile

    WordPress cho Android là ứng dụng cho phép người dùng đăng tải các post mới, chỉnh sửa nội dung và quản lý các bình luận trên blog Wordpress, với WordPress cho Android, bạn có thể quản lý blog cũng như trang web cá nhân của mình mọi lúc, mọi nơi từ điện thoại thông minh hay máy tính bảng.

Tin Mới

  • Điểm mới trong Firefox 72.0.2

    Trình duyệt web Firefox hiệu quả và đáng tin cậy nhất hiện nay nhờ vào giao diện đơn giản, tốc độ nhanh và tính năng bảo mật mạnh mẽ, trong phiên bản 72.0.2 của trình duyệt này đã được sửa một số lỗi nhỏ về tính ổn định và tương thích

  • Điểm mới trong WPS Office Free 11.2.0.9144

    Người dùng là nhân viên văn phòng chắc hẳn không còn xa lạ với bộ ứng dụng WPS Office từ nhà phát triển Kingsoft, bộ ứng dụng miễn phí này mới đây đã được cập nhật một số tính năng mới trong phiên bản 11.2.0.9144 giúp nâng cao hiệu suất làm việc cũng như tính ổn định của chương trình.

  • Google cho phép tắt âm thanh các tab trên Chrome dễ dàng hơn

    Việc các tab trên trình duyệt Chrome phát âm thanh gây khó chịu cho rất nhiều người dùng và Google đã mang đến một giải pháp mới, cho phép tắt tiếng tab trên trình duyệt một cách dễ dàng hơn.

  • Đáp án game Brain Out đầy đủ nhất

    Brain Out là một trò chơi giải đố gây nghiện với một loạt các câu đố hại não và thử thách khác nhau thách thức trí não của bạn. Bạn có thể vượt qua nó bằng việc xem qua đáp án game Brain Out đầy đủ nhất được Taimienphi cung cấp bên dưới.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá