Báo động nền tảng website WordPress bị hacker tấn công lừa đảo

ictnews Vượt qua cơ chế bảo vệ của Wordfence (“tường lửa” của WordPress), các hacker sẽ lợi dụng tấn công thay đổi giao diện, chuyển hướng người dùng tới các website độc hại để tiến hành lừa đảo.

Nền tảng WordPress được sử dụng phổ biến tại Việt Nam

Cuối tháng 3/2019, thông tin plugin (thành phần mở rộng được cài đặt  thêm) có tên “Yuzo Related Posts” được cài trên hơn 60.000 website đã bị xóa bỏ khỏi thư viện plugin của Wordpress.org sau khi chứa lỗ hổng không có bản vá và được tiết lộ bởi một nhà nghiên cứu về bảo mật đã gây xôn xao trong cộng đồng công nghệ.

Về bản chất, lỗ hổng này cho phép thực hiện tấn công dạng Stored-XSS và hiện đang bị lợi dụng để tấn công các website sử dụng nền tảng WordPress có cài đặt plugin.

Với việc sử dụng lỗ hổng này, các cuộc tấn công có thể vượt qua cơ chế bảo vệ của Wordfence (“tường lửa” của WordPress) khiến một kẻ tấn công không cần quyền xác thực cũng có thể chèn các nội dung độc hại, ví dụ như một đoạn mã Javascript vào trong cấu hình của plugin.

Lỗ hổng này có thể lợi dụng để tấn công thay đổi giao diện để lừa đảo người dùng.

11 ngày sau khi lỗ hổng bị phát hiện, các hacker đã tuyên bố bắt đầu khai thác các trang web có cài đặt “Yuzo Related Posts”.

Khi người dùng truy cập website đã bị khai thác, đoạn mã javascript từ máy chủ hellofromhony.com sẽ chuyển hướng họ tới các website lừa đảo hoặc chứa mã độc.

 

Phân tích của SecurityBox cho thấy hình thức tấn công này có nhiều điểm tương đồng với tấn công dựa vào 2 lỗ hổng được phát hiện trước đó có tên là Social Warfare và Easy WP SMTP (mã độc cùng được lưu trữ trên máy chủ hellofromhony.org có địa chỉ IP 176.123.9[.]53).

Cả 3 cuộc tấn công đều sử dụng lỗ hổng Stored-XSS và chuyển hướng người dùng tới các website độc hại để tiến hành lừa đảo.

Do đó, kỹ thuật tấn công và quy trình khai thác cho cả 3 lỗ hổng này khả năng rất lớn đều do một tin tặc gây ra.

Trước thực trạng đáng lo ngại trên, phía SecurityBox khuyến cáo chủ sở hữu các trang web cài đặt plugin Yuzo Related Posts phải gỡ bỏ ngay lập tức cho đến khi có bản vá sửa lỗi chính thức.

Với các khách hàng sử dụng bản miễn phí, do thời gian chờ đợi bản cập nhật là 30 ngày nên việc gỡ bỏ ra khỏi website sẽ tránh được rủi ro bị tấn công.

Hiện tất cả các sản phẩm của SecurityBox cung cấp đều đã được tích hợp thêm thông tin về lỗ hồng Yuzo Related để đảm bảo an toàn, an ninh hệ thống của khách hàng. Trường hợp các đơn vị cần hỗ trợ về bảo mật Yuzo Related có thể liên hệ trực tiếp với SecurityBox để được hướng dẫn cụ thể.

 
List comment
 
7 nguyên tắc phòng tránh hacker thâm nhập mạng Wi-Fi gia đình
icon

Những dữ liệu quan trọng trên các thiết bị cá nhân có thể bị xâm hại nếu mạng Wi-Fi gia đình không được bảo mật.

 
Microsoft xây dựng siêu máy tính khổng lồ giúp cho AI thông minh hơn
icon

Microsoft đã xây dựng một siêu máy tính khổng lồ nhằm hỗ trợ cho việc nghiên cứu và phát triển trí tuệ nhân tạo (AI), một hướng đi mới cho dịch vụ điện toán đám mây Azure của mình.

 
Hãng hàng không giá rẻ làm lộ thông tin 9 triệu khách hàng
icon

Hôm 19/5, EasyJet thông báo vừa hứng chịu cuộc tấn công mạng nghiêm trọng từ thế lực “vô cùng tinh vi”.

 
Tìm con thất lạc sau 32 năm nhờ nhận diện khuôn mặt
icon

Một người đàn ông bị bắt cóc 32 năm trước tại Trung Quốc đã đoàn tụ với gia đình nhờ công nghệ nhận diện khuôn mặt.

 
Thu tiền thế nào từ người đọc báo online?
icon

Với khoảng 3,4 triệu thuê bao đăng ký đọc báo online, tờ The Times sẽ có 1.000 tỷ đồng mỗi tháng chỉ với nguồn thu từ người đọc. Thực tế này mở ra nhiều con đường mới để tăng doanh thu cho báo chí Việt Nam.

 
VPCP thành lập Tổ công tác triển khai dịch vụ chứng thực bản sao điện tử
icon

Văn phòng Chính phủ (VPCP) vừa thành lập Tổ công tác triển khai dịch vụ chứng thực bản sao điện tử từ bản chính trên Cổng dịch vụ công quốc gia. Tổ trưởng Tổ công tác là ông Mai Tiến Dũng, Bộ trưởng, Chủ nhiệm VPCP.

Cổng dịch vụ công Quốc gia là kênh hữu hiệu nhất để 'điện tử hóa' các dịch vụ hành chính
icon

Theo Bộ trưởng, Chủ nhiệm VPCP Mai Tiến Dũng, với những kết quả đạt được sau 5 tháng đi vào hoạt động, Cổng dịch vụ công Quốc gia là kênh hữu hiệu nhất để điện tử hóa các dịch vụ hành chính.

Vingroup công bố giải pháp công nghệ nâng cao 25% năng suất lao động
icon

Công ty CP Giải pháp và Dịch vụ Công nghệ Vantix (thuộc Vingroup) công bố giải pháp VinHR, có khả năng nâng cao 25% năng suất lao động phổ thông thông qua thiết bị IoT cá nhân và AI.

“The Lion King”: Cuộc cách mạng của công nghệ mô phỏng hình ảnh bằng máy tính
icon

Công nghệ CGI không còn xa lạ đối với điện ảnh thế giới, được các nhà làm phim khai thác mạnh mẽ. Nhưng ở bộ phim 'The Lion King' phiên bản live-action, công nghệ hoạt hình máy tính tả thực được đưa lên tầm cao mới.

Phụ huynh đau đầu kiểm soát con sử dụng mạng xã hội
icon

Nhiều gia đình thực sự lo ngại về việc không kiểm soát được con em mình sử dụng mạng xã hội ngay cả khi các con chỉ ở trong nhà.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123