Gần 1 triệu website WordPress bị nhắm mục tiêu trong một chiến dịch tấn công lớn

10:00 | 11/05/2020 | HACKER / MALWARE

Theo thông tin từ ESET, một tác nhân độc hại chưa được xác định đang tiến hành khai thác lỗ hổng trong các plugin đã được vá vài tháng, hoặc thậm chí vài năm trước trên nền tảng WordPress trong thời gian gần đây.

Gần 1 triệu website WordPress bị nhắm mục tiêu trong một chiến dịch tấn công lớn

Đầu tháng 05/2020, hơn 900.000 website WordPress đã bị tấn công bởi một tác nhân độc hại chưa được xác định trong một chiến dịch tấn công quy mô lớn. Defiant - công ty phát triển các plugin bảo mật Wordfence cho nền tảng xuất bản web (Mỹ) cho biết, họ bắt đầu phát hiện và theo dõi sự gia tăng đột biến của số lượng các cuộc tấn công đặc biệt nhắm vào các lỗ hổng Cross-Site Scripting (XSS) vào ngày 28/4/2020. Chiến dịch tấn công quy mô lớn này đã khiến lưu lượng tấn công tăng gấp 30 lần.

Dựa trên payload độc hại, Defiant nghi ngờ rằng hầu hết các cuộc tấn công này được thực hiện bởi một tác nhân độc hại riêng lẻ. Theo Ram Gall - kỹ sư đảm bảo chất lượng sản phẩm của Wordfence, kẻ tấn công đã bắt đầu với một số lượng tấn công nhỏ và đã không tăng cường tấn công cho đến ngày 03/5/2020, khi chiến dịch tấn công đạt đỉnh điểm với 20 triệu tấn công nhắm vào hơn nửa triệu website.

“Trong suốt tháng 04/2020, chúng tôi đã phát hiện tổng cộng hơn 24.000 địa chỉ IP riêng biệt gửi yêu cầu tương tự với các tấn công tới hơn 900.000 website”, Ram Gall cho biết thêm. Lỗ hổng XSS cũng như các lỗ hổng khác đã cho phép tin tặc chèn mã độc vào các website, sau đó chuyển hướng khách truy cập đến các website quảng cáo độc hại.

Đáng chú ý là các bản cập nhật bảo mật cho các lỗ hổng đang được khai thác đều đã có sẵn. Các bản vá này đã được phát hành trong vài tháng, thậm chí trong một số trường hợp là vài năm trước.

Ba trong số năm lỗ hổng được nhắm mục tiêu có liên quan đến XSS. Một lỗ hổng ảnh hưởng đến plugin Easy2Map, liên quan đến hơn một nửa các cuộc tấn công và có khả năng được cài đặt trên khoảng 3.000 website. Lỗ hổng thứ hai nằm trong Blog Designer và đã được vá vào năm 2019. Lỗ hổng này đã được nhắm mục tiêu trước đây và Defiant ước tính rằng có khoảng 1.000 website đã cài đặt bản chưa được vá. Lỗ hổng XSS thứ ba nằm trong chủ đề Newspaper, cũng là mục tiêu của các cuộc tấn công trước đây và đã được vá từ năm 2016.

Hai lỗ hổng cuối cùng là tùy chọn cập nhật cho lỗ hổng. Một lỗ hổng ảnh hưởng đến plugin WP GDPR Compliance đã được vá từ năm 2018. ESET cũng đã có bài viết về một chiến dịch tấn công cố gắng chiếm quyền kiểm soát các website qua việc lợi dụng plugin này. Lỗ hổng còn lại ảnh hưởng đến plugin Total Donations đã được loại bỏ vĩnh viễn khỏi Envato Marketplace vào năm 2019. Hai lỗ hổng này cho phép tin tặc thay đổi địa chỉ home của website.

Các nhà nghiên cứu nghi ngờ rằng, tin tặc có đủ kỹ năng để nhắm vào các lỗ hổng khác trong tương lai. Lời khuyên tốt nhất cho quản trị viên website WordPress đó là: giữ phần mềm WordPress cốt lõi và cập nhật tất cả các plugin. Điều quan trọng không kém là xóa tất cả các plugin không còn được hỗ trợ hoặc không cần thiết, vì chúng sẽ làm gia tăng phạm vi tấn công trên nền tảng WordPress.

T.U

Từ khóa:
WORDPRESS
PLUGIN
XSS

‹ › ×

Tin liên quan

Phát hiện lỗ hổng nghiêm trọng trong plugin WordPress của 400.000 website

22:00 | 26/01/2020

Mới đây, các lỗ hổng nghiêm trọng trong 3 plugin WordPress đã được các chuyên gia phát hiện. Các plugin này bao gồm InfiniteWP, WP Time Capsule và WP Database Reset đã được cài đặt trên tổng cộng 400.000 website.

Phát hiện nền tảng WordPress bị khai thác tấn công lừa đảo

16:00 | 18/04/2019

Vượt qua cơ chế bảo vệ của Wordfence (tường lửa của WordPress), các tin tặc có thể thực hiện tấn công thay đổi giao diện, chuyển hướng truy cập tới website độc hại nhằm mục tiêu lừa đảo người dùng.

Chiến dịch Spalax nhắm mục tiêu vào Chính phủ Colombia và ngành công nghiệp

09:00 | 26/01/2021

Vào năm 2020, các nhà nghiên cứu của ESET đã quan sát thấy một số cuộc tấn công nhắm vào các mục tiêu tại Colombia, được gọi chung là Chiến dịch Spalax. Các cuộc tấn công này đang diễn ra liên tục, tập trung vào cả các tổ chức chính phủ và các công ty tư nhân, đặc biệt là trong ngành năng lượng và luyện kim.

Phát hiện các plugin độc hại trong 25.000 trang web WordPress

13:00 | 16/09/2022

Các nhà nghiên cứu tại Viện Công nghệ Georgia (Hoa Kỳ) phát hiện rất nhiều các plugin độc hại trên hàng chục nghìn trang web WordPress.

Tấn công thực thi mã PHP đe dọa các website WordPress

09:00 | 24/08/2018

Tấn công này không chỉ gây ảnh hưởng tới hệ quản trị nội dung Typo3, WordPress mà còn ảnh hưởng tới thư viện TCPDF được sử dụng rộng rãi hiện nay.

Hơn 300 trang web lừa đảo tại Vương quốc Anh bị gỡ bỏ chỉ trong hai tuần

08:00 | 06/06/2020

Trung tâm an ninh mạng quốc gia Vương quốc Anh đã tạo ra những bước đột phá ấn tượng trong việc chống lại các trang web lừa đảo, giúp quốc gia này trở thành nơi an toàn để sống và kinh doanh trực tuyến.

Tin cùng chuyên mục

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.