Lỗ hổng WordPress nghiêm trọng cho phép hacker tấn công từ xa website

Lỗ hổng WordPress nghiêm trọng tại trang web nếu vì một lý do nào đó, trang web dựa trên WordPress của bạn chưa được tự động cập nhật lên phiên bản 5.1.1 mới nhất, bạn nên nâng cấp ngay lập tức trước khi tin tặc có thể lợi dụng lỗ hổng mới được tiết lộ để hack trang web của bạn.

Simon Scannell, một nhà nghiên cứu tại RIPS Technologies GmbH, người trước đây đã báo cáo nhiều lỗ hổng nghiêm trọng trong WordPress, một lần nữa phát hiện ra một lỗ hổng mới trong phần mềm quản lý nội dung (CMS) có khả năng dẫn đến các cuộc tấn công thực thi mã từ xa.

Lỗ hổng xuất phát từ vấn đề giả mạo yêu cầu chéo trang (CSRF) trong phần bình luận của WordPress, một trong những thành phần cốt lõi của nó được bật theo mặc định và ảnh hưởng đến tất cả các cài đặt WordPress trước phiên bản 5.1.1.

Không giống như hầu hết các cuộc tấn công trước đây được ghi nhận chống lại WordPress, khai thác mới này cho phép ngay cả một “kẻ tấn công từ xa, không được xác thực” thỏa hiệp và có được sự thực thi mã từ xa trên các trang web WordPress dễ bị tấn công.

“Xem xét rằng các bình luận là một tính năng cốt lõi của blog và được bật theo mặc định, lỗ hổng này đã ảnh hưởng đến hàng triệu trang web,” Scannell nói.

Khai thác được thể hiện bởi Scannell dựa trên nhiều vấn đề, bao gồm:

• WordPress không sử dụng xác thực CSRF khi người dùng đăng bình luận mới, cho phép kẻ tấn công đăng bình luận thay mặt quản trị viên.
• Comment được đăng bởi quản trị viên không được “khử trùng”  và có thể bao gồm các thẻ HTML tùy ý, thậm chí các thẻ SCRIPT.
• Frontend WordPress không được bảo vệ bởi tiêu đề X-Frame-Options, cho phép kẻ tấn công mở trang web WordPress được nhắm mục tiêu trong một iFrame ẩn từ một trang web do kẻ tấn công kiểm soát.

Bằng cách kết hợp tất cả các vấn đề này, kẻ tấn công có thể âm thầm tiêm một tải trọng XSS được lưu trữ vào trang web mục tiêu chỉ bằng cách lừa một quản trị viên đã đăng nhập truy cập vào một trang web độc hại có chứa mã khai thác.

Theo nhà nghiên cứu, kẻ tấn công thậm chí có thể kiểm soát hoàn toàn các trang web WordPress mục tiêu từ xa bằng cách tiêm một tải trọng XSS có thể sửa đổi trực tiếp mẫu WordPress để bao gồm một backlink PHP độc hại trong một bước mà quản trị viên không hề nhận thấy.

Sau khi Scannell báo cáo lỗ hổng này trở lại vào tháng 10 năm ngoái, nhóm WordPress cố gắng giảm thiểu vấn đề bằng cách giới thiệu một thông báo bổ sung cho quản trị viên trong biểu mẫu nhận xét, thay vì chỉ cho phép bảo vệ CSRF.

Tuy nhiên, Scannell cũng có thể bỏ qua điều đó, sau đó nhóm CMS cuối cùng đã phát hành WordPress 5.1.1 với bản vá ổn định vào thứ Tư.

Vì WordPress tự động cài đặt các bản cập nhật bảo mật theo mặc định, nên bạn đã chạy phiên bản mới nhất của phần mềm quản lý nội dung.

Tuy nhiên, nếu việc cập nhật tự động CMS của bạn đã bị tắt, bạn nên tạm thời vô hiệu hóa nhận xét và đăng xuất khỏi phiên quản trị viên cho đến khi bản vá bảo mật được cài đặt.