Lỗ hổng zero day là gì? 

"zero-day" attacks là những cuộc tấn công chuyên nhắm vào việc khai thác những lỗ hổng chưa được công bố hoặc chưa có bản vá hoàn chỉnh của các website wordpress.

Tấn công website wordpress lợi dụng các lỗ hổng zero day là mối quan tâm lớn của doanh nghiệp

Các Hacker khai thác lỗ hổng zero-day trong plugin WordPress để tạo tài khoản quản trị giả mạo

Một số cuộc tấn công mạng bị phát hiện khi đang nhắm vào các website wordpress có cài plugin ThemeREX Addons.

Các hacker đang khai thác từ 1 lỗ hổng zero-day trong một plugin WordPress được tạo bởi ThemeREX, đây cũng là tên của một công ty chuyên bán các themes WordPress.

Các cuộc tấn công này, được phát hiện vào ngày 18 tháng 2 năm 2020 bởi Wordfence, một công ty cung cấp dịch vụ tường lửa ứng dụng web (gọi tắt là WAF) cho các trang web WordPress.

Các Hacker nhắm mục tiêu vào ThemeREX Addons, một plugin WordPress được cài đặt sẵn trên tất cả các theme wordpress thương mại của ThemeREX. 

Vai trò của plugin này là giúp người mua các ThemeREX thiết lập trang web mới của họ và kiểm soát các tính năng theme khác nhau. Wordfence ước tính plugin này đã được cài đặt trên hơn 44.000 trang web. 

Theo công ty bảo mật WordPress, plugin này hoạt động bằng cách thiết lập 1 điểm cuối của WordPress REST-API nhưng lại không kiểm tra các câu lệnh đó được gửi tới REST API đang đến từ những người dùng được chứng thực (như là: chủ sở hữu trang web).

Chloe Chamberland, một nhà phân tích các mối đe dọa an ninh mạng tại Wordfence cho biết: "Điều này có nghĩa là mã lệnh điều khiển từ xa có thể được thực thi bởi bất kỳ khách truy cập nào, ngay cả khi những người đó không được xác thực quyền truy cập vào trang quản trị của website". Chloe Chamberland còn nói thêm: "Điều đáng lo ngại nhất mà chúng ta gặp phải đó là khả năng bị tấn công rất cao, khi một người dùng quản trị mới được tạo ra, có thể sẽ có toàn quyền tiếp quản trang web".

Chamberland chia sẻ: "Chúng tôi kêu gọi người dùng tạm thời gỡ bỏ plugin ThemeREX Addons nếu bạn đang chạy phiên bản cao hơn 1.6.50 cho đến khi bản vá được phát hành".

Cuộc tấn công hủy diệt thứ 2

Các cuộc tấn công vào các trang web chạy plugin ThemeREX Addons không chỉ mới xảy ra lần đầu mà nó đã được phát hiện từ hôm trước đó.

Đợt tấn công thứ 2 trên các trang WordPress được cho là đang nhắm đến các website sử dụng ThemeGrill Demo Importer, là 1 plugin có các theme được phân phối bởi ThemeGrill, cũng là 1 nhà cung ứng theme WordPress khác trên thị trường.

Tuy nhiên, các cuộc tấn công này được xem là tấn công hủy diệt đối với website doanh nghiệp, thay vì chỉ tấn công 1 phần vào website như các loại tội phạm mạng hoặc Botnet trước đây. Theo các báo cáo được đăng trên Twitter, tin tặc đã sử dụng một lỗi trong plugin ThemeGrill để xóa cơ sở dữ liệu và đặt lại các trang web WordPress về trạng thái mặc định. Có hơn 200.000 trang web WordPress được xác định là đang sử dụng plugin ThemeGrill này. 

Ngoài việc đặt lại các website wordpress về trạng thái mặc định ban đầu, một số hacker lại muốn nắm giữ toàn bộ quyền quản trị trên website.

Đây được gọi là các cuộc tấn công "1 ngày", và chúng đã chấm dứt ngay sau khi bản vá được tung ra.

Bên cạnh đó, các cuộc tấn công vào ThemeREX còn được gọi là "zero-day" attacks. Là những cuộc tấn công chuyên nhắm vào việc khai thác những lỗ hổng chưa được công bố hoặc chưa có bản vá hoàn chỉnh.

Giải pháp được đề xuất cho chúng ta là khi có công bố lỗ hổng thì hãy ngay lập tức vô hiệu hóa plugin đó cho đến khi nó có bản vá được công bố.

Cloud WAF - Giải pháp bảo vệ website toàn diện

Ngăn chặn mọi hành vi lợi dụng lỗ hổng để phá hoại website của bạn. Kết hợp sức mạnh của tường lửa Web Application Firewall cùng hệ thống Multi CDN và công nghệ trí tuệ nhân tạo AI, tạo nên giải pháp bảo vệ website toàn diện trên nền tảng đám mây, giúp ngăn chặn triệt để các cuộc tấn công vào lỗ hổng web, các cuộc tấn công DDoS, Botnet, Crawler và các mối nguy hại tiềm ẩn khác từ bên ngoài.

-------

VNETWORK

Website: https://vnetwork.vn

Email: contact@vnetwork.vn

Hotline: (028) 7306 8789