Đầu tháng 05/2020, hơn 900.000 website WordPress đã bị tấn công bởi một tác nhân độc hại chưa được xác định trong một chiến dịch tấn công quy mô lớn. Defiant - công ty phát triển các plugin bảo mật Wordfence cho nền tảng xuất bản web (Mỹ) cho biết, họ bắt đầu phát hiện và theo dõi sự gia tăng đột biến của số lượng các cuộc tấn công đặc biệt nhắm vào các lỗ hổng Cross-Site Scripting (XSS) vào ngày 28/4/2020. Chiến dịch tấn công quy mô lớn này đã khiến lưu lượng tấn công tăng gấp 30 lần.
Dựa trên payload độc hại, Defiant nghi ngờ rằng hầu hết các cuộc tấn công này được thực hiện bởi một tác nhân độc hại riêng lẻ. Theo Ram Gall - kỹ sư đảm bảo chất lượng sản phẩm của Wordfence, kẻ tấn công đã bắt đầu với một số lượng tấn công nhỏ và đã không tăng cường tấn công cho đến ngày 03/5/2020, khi chiến dịch tấn công đạt đỉnh điểm với 20 triệu tấn công nhắm vào hơn nửa triệu website.
“Trong suốt tháng 04/2020, chúng tôi đã phát hiện tổng cộng hơn 24.000 địa chỉ IP riêng biệt gửi yêu cầu tương tự với các tấn công tới hơn 900.000 website”, Ram Gall cho biết thêm. Lỗ hổng XSS cũng như các lỗ hổng khác đã cho phép tin tặc chèn mã độc vào các website, sau đó chuyển hướng khách truy cập đến các website quảng cáo độc hại.
Đáng chú ý là các bản cập nhật bảo mật cho các lỗ hổng đang được khai thác đều đã có sẵn. Các bản vá này đã được phát hành trong vài tháng, thậm chí trong một số trường hợp là vài năm trước.
Ba trong số năm lỗ hổng được nhắm mục tiêu có liên quan đến XSS. Một lỗ hổng ảnh hưởng đến plugin Easy2Map, liên quan đến hơn một nửa các cuộc tấn công và có khả năng được cài đặt trên khoảng 3.000 website. Lỗ hổng thứ hai nằm trong Blog Designer và đã được vá vào năm 2019. Lỗ hổng này đã được nhắm mục tiêu trước đây và Defiant ước tính rằng có khoảng 1.000 website đã cài đặt bản chưa được vá. Lỗ hổng XSS thứ ba nằm trong chủ đề Newspaper, cũng là mục tiêu của các cuộc tấn công trước đây và đã được vá từ năm 2016.
Hai lỗ hổng cuối cùng là tùy chọn cập nhật cho lỗ hổng. Một lỗ hổng ảnh hưởng đến plugin WP GDPR Compliance đã được vá từ năm 2018. ESET cũng đã có bài viết về một chiến dịch tấn công cố gắng chiếm quyền kiểm soát các website qua việc lợi dụng plugin này. Lỗ hổng còn lại ảnh hưởng đến plugin Total Donations đã được loại bỏ vĩnh viễn khỏi Envato Marketplace vào năm 2019. Hai lỗ hổng này cho phép tin tặc thay đổi địa chỉ home của website.
Các nhà nghiên cứu nghi ngờ rằng, tin tặc có đủ kỹ năng để nhắm vào các lỗ hổng khác trong tương lai. Lời khuyên tốt nhất cho quản trị viên website WordPress đó là: giữ phần mềm WordPress cốt lõi và cập nhật tất cả các plugin. Điều quan trọng không kém là xóa tất cả các plugin không còn được hỗ trợ hoặc không cần thiết, vì chúng sẽ làm gia tăng phạm vi tấn công trên nền tảng WordPress.
T.U
22:00 | 26/01/2020
16:00 | 18/04/2019
09:00 | 26/01/2021
13:00 | 16/09/2022
09:00 | 24/08/2018
08:00 | 06/06/2020
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024