VSEC cảnh báo lỗ hổng nghiêm trọng trên Wordpress giúp hacker chiếm quyền điều khiển website

ictnews Một lỗ hổng bảo mật nghiêm trọng trên Wordpress, nền tảng xây dựng website phổ biến, vừa được phát hiện. Với lỗ hổng này, tin tặc có thể điều khiến máy chủ và triển khai các hoạt động trái phép gây ảnh hưởng nghiêm trọng cho doanh nghiệp.

Cảnh báo lỗ hổng nghiêm trọng trên Wordpress giúp hacker chiếm quyền điều khiển website

VSEC cảnh báo, lợi dụng lỗ hổng bảo mật Cross-site request forgery (CSRF) trên plugin Code Snippets của nền tảng Wordpress, tin tặc có thể chiếm quyền quản trịwebsite để thực hiện các mã lệnh từ xa (Ảnh minh họa: Internet)

Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa phát đi cảnh báo về lỗ hổng bảo mật nghiêm trọng Cross-site request forgery (CSRF) trên plugin Code Snippets của nền tảng Wordpress, giúp tin tặc chiếm quyền quản trị website để thực hiện các mã lệnh từ xa.

Lỗ hổng CSRF được phát hiện vào đầu tháng 2/2020, được gắn mã CVE là CVE-2020-8417, một loại mã để định danh các lỗ hổng bảo mật được phát hiện trong các sản phẩm công nghệ phổ biến trên thế giới, được cung cấp bởi MITRE - một đơn vị được bảo trợ bởi Cơ quan An ninh nội địa Mỹ.

Để khai thác lỗ hổng này, hacker sẽ tạo đường link chứa mã khai thác và lừa người quản trị truy cập đường link đó. Khi người quản trị truy cập vào đường link này lúc đang đăng nhập vào Wordpress, một tài khoản quản trị xấu sẽ được thêm vào hệ thống quản trị website mà người dùng không được thông báo. Từ đây, tin tặc thực hiện xóa quyền quản trị của nạn nhân, thêm vào đó tiến hành thay đổi toàn bộ thông tin website.

Tiếp theo, sau khi đã thu được tài khoản này, tin tặc sẽ thực thi mã lệnh từ xa (RCE) qua chức năng chỉnh sửa mã nguồn của Wordpress nhằm chiếm quyền điều khiển máy chủ, qua đó hacker có thể thực hiện những cuộc tấn công gián điệp đối với các thiết bị và máy chủ thuộc cùng mạng nội bộ với máy chủ bị tấn công.

 

Theo các chuyên gia VSEC: “Code Snippets trước phiên bản 2.14.0 đều bị ảnh hưởng”. Các chuyên gia VSEC cũng chia sẻ thêm, hiện nay lợi dụng sự tò mò của người dùng về các thông tin nóng như dịch bệnh, người nổi tiếng, chính trị... đã có hiện tượng tin tặc phát đi những đường link chứa mã độc ngụy trang dưới dạng tin tức giật gân, mục đích phát tán những mã độc đấy nhằm khai thác lỗ hổng CSRF để chiếm quyền điều khiển website.

Để tránh trở thành nạn nhân bị hacker lợi dụng lỗ hổng mới trên Wordpress tấn công chiếm quyền điều khiển website, các chuyên gia VSEC khuyến nghị quản trị viên của các website cần cân nhắc trước khi truy cập những đường link lạ, trang bị đủ kiến thức an toàn thông tin. Đặc biệt, cần cập nhật ngay phiên bản plugin Code Snippets mới nhất để khắc phục lỗ hổng này.

WordPress là một mã nguồn mở bằng ngôn ngữ PHP để hỗ trợ xây dựng và phát triển website, đây là nền tảng phổ biến vì dễ sử dụng, nhiều tính năng hữu ích mà nổi bật là Code Snippets - tính năng mở rộng rất tiện ích trên Wordpress giúp chèn trực tiếp các đoạn mã vào các tập tin giao diện. Hiện nay, trên thế giới, ước tính có hơn 60% website sử dụng CMS là Wordpress, trong đó có khoảng 200.000 website cài đặt Code Snippets. Riêng tại Việt Nam, theo các chuyên gia VSEC, khoảng 40% website sử dụng nền tảng Wordpress.

Liên quan đến nguy cơ bị tấn công mạng của các website sử dụng nền tảng Wordpress, trong báo cáo an ninh website năm 2019 mới được Công ty an toàn thông tin CyStack công bố hôm nay, ngày 11/2/2020, đơn vị này đã cho biết, kết thúc năm dương lịch 2019, hệ thống CyStack Attack Map ghi nhận hơn 9.300 vụ xâm phạm vào các website của các tổ chức,  doanh nghiệp tại Việt Nam. Gần 3/4 số trang web bị hack tại Việt Nam sử dụng nền tảng quản trị nội dung WordPress,  theo sau là Drupal và Joomla với lần lượt 12,99% và 6,7% số website bị tấn công.

 
List comment
 
Mã độc tống tiền – Nguy cơ và giải pháp phòng chống
icon

Trên đường đua Chuyển Đổi Số, các Doanh nghiệp đang tìm kiếm lợi thế cạnh tranh thông qua việc đưa ra quyết định nhanh hơn, sáng suốt hơn, được hỗ trợ bởi nguồn dữ liệu năng động và luôn sẵn sàng. 

 
Quy hoạch thị trường dịch vụ chữ ký số: Vì sao cần?
icon

Trong bối cảnh cung – cầu mất cân đối, nảy sinh nhiều bất cập, thì quy hoạch là việc làm rất cần thiết và cấp bách để đảm bảo sự phát triển bền vững của thị trường dịch vụ chứng thực chữ ký số công cộng tại Việt Nam.

 
Elon Musk chê Bill Gates không biết gì về xe tải điện
icon

CEO Tesla Elon Musk chỉ trích tỷ phú Bill Gates về quan điểm của ông đối với tính cần thiết của xe điện cỡ lớn.  

 
“Ngày Trí tuệ nhân tạo 2020” - Bức tranh toàn cảnh về AI tại Việt Nam
icon

AI Day 2020 được xem là ngày hội của giới nghiên cứu, ứng dụng AI tại Việt Nam khi bất cứ ai quan tâm đến lĩnh vực này đều có thể lắng nghe, trao đổi những vấn đề mình quan tâm với các chuyên gia hàng đầu thế giới.

 
Blogger thú cưng: Từ xu hướng triệu view trở thành nghề mới của giới trẻ
icon

Xuất phát từ sở thích cá nhân, nhiều blogger thú cưng đã định hướng cho mình một con đường phát triển sự nghiệp hiệu quả, mang đến nguồn thu nhập đáng kể.  

 
 
Các giải pháp Chính phủ điện tử của VNPT được vinh danh tại giải thưởng quốc tế
icon

Chỉ trong thời gian ngắn, VNPT tiếp tục được vinh danh tại Giải thưởng Kinh doanh Quốc tế 2020 (International Business Awards - IBA Stevie Awards) với 5 giải thưởng lớn dành cho các giải pháp Chính phủ điện tử.

VNPT đảm nhận vai trò kết nối tại kỳ họp Đại hội đồng AIPA – 41
icon

Với kinh nghiệm triển khai hạ tầng Viễn thông – CNTT cho các sự kiện lớn trong nước và quốc tế những năm gần đây, VNPT vinh dự được Quốc hội và Chính phủ tin tưởng giao nhiệm vụ kết nối tại kỳ họp Đại hội đồng AIPA năm nay.

VNPT bứt phá trong cuộc đua triển khai eKYC
icon

Giải pháp xác thực thông tin khách hàng trực tuyến VNPT eKYC có những thành quả ấn tượng khi được nhiều ngân hàng, công ty chứng khoán và các công ty bảo hiểm lựa chọn trong quá trình ứng dụng công nghệ nhằm thay đổi thói quen của người dùng.

Ngày mai, Huawei bước vào thế giới u ám mới
icon

Trong chưa đầy 24 giờ tới, thế giới của Huawei sẽ thay đổi. Nhà sản xuất thiết bị viễn thông và smartphone số một toàn cầu có nguy cơ trở nên què quặt.  

Vingroup công bố giải pháp tiên phong tối ưu camera ẩn dưới màn hình điện thoại
icon

Cuối tuần qua, sự kiện trực tuyến “Ngày AI 2020 - Vươn tầm đón nhận thách thức”, Viện Nghiên cứu Trí tuệ nhân tạo VinAI Research công bố 2 công nghệ AI gồm VCam Kristal (công nghệ nhiếp ảnh AI) và VSound Alto (công nghệ lọc tiếng ồn).

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123