Lỗ hổng WordPress mới khiến hàng triệu website bị đe dọa

• 30 Tháng Năm 2015
• mục: Bảo mật
• Tags: bảo mật wordpress, wordpress bug

Hàng triệu các trang web WordPress đang đứng trước nguy cơ bị chiếm quyền hoàn toàn bởi tin tặc do một lỗi XSS nghiêm trọng, được tìm thấy bởi nhà nghiên cứu Robert Abela của hãng NetSparker. Lỗ hổng này nằm trong gói các phông chữ Genericons, một phần của theme Twenty…

Hàng triệu các trang web WordPress đang đứng trước nguy cơ bị chiếm quyền hoàn toàn bởi tin tặc do một lỗi XSS nghiêm trọng, được tìm thấy bởi nhà nghiên cứu Robert Abela của hãng NetSparker.

Lỗ hổng này nằm trong gói các phông chữ Genericons, một phần của theme Twenty Fifteen. Lỗi XSS được xác định là một lỗi “DOM-based”, tức là lỗ hổng này nằm trong document object model (DOM) chịu trách nhiệm các bài viết, hình ảnh, tiêu đề và các liên kết trong một trang web. Lỗ hổng xảy ra do file kém bảo mật trong Genericons cho phép Document Object Model Environment trong trình duyệt của bạn nhân thay đổi.

Tấn công DOM-Based XSS là gì?

Trong kịch bản tấn công DOM-Based Cross-Site, payload thực thi trong DOM (Document Object Model) thay vì phần HTML trong trình duyệt của nạn nhân. Điều này đồng nghĩa với việc trang web không thay đổi nhưng phần mã phía client sẽ được thực thi kiểu khác thông qua sự thay đổi độc hại trong môi trường DOM.

Lỗ hổng DOM XSS này khó bị phát hiện hơn nhiều so với các lỗi XSS cổ điển khác bởi nó nằm trong script code của trang web. Lỗ hổng này cho phép hacker ăn cắp thông tin phiên làm việc hoặc thực hiện tấn công giả mạo. Các nhà nghiên cứu đã phát hiện plugin JetPack và theme Twenty Fifteen đều chứa lỗ hổng DOM-based XSS. Bất kì plugin nào đi kèm gói Genericons đều sẽ trở thành mục tiêu tiềm năng để tấn công. JetPack cũng là một plugin phổ biến của WordPress với hơn một triệu lượt tải về. Plugin này chứa các các tính năng tùy biến hỗ trợ việc quản lý WordPress trở nên dễ dàng hơn.

Làm thế nào để hijack trang web WordPress

Thông thường, một cuộc tấn công DOM-based XSS bắt đầu khi quản trị viên nhấn vào một đường dẫn độc hại khi đang truy cập vào WordPress. Ssau đó, hacker đã chiếm toàn bộ quyền kiểm soát.

Chuyên gia David Dede cho biết: “Điều thú vị là chúng tôi đã phát hiện ra lỗi này trong thực tế chỉ vài ngày trước. Chúng tôi nhận được báo cáo về các client tồn tại lỗ hổng tại http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1<img/ src=1 onerror= alert(1)”

Hiện không có con số chính xác, nhưng với việc hàng triệu trang WordPress sử dụng JetPack thì số lượng có thể là vô cùng lớn.

Phương pháp bảo vệ

Các quản trị viên của trang WordPress nên kiểm tra xem trang web của mình có sử dụng gói Genericons hay không. Trong trường hợp có, phải ngay lập tức xóa ngay file example.html trong gói, hoặc ít nhất hãy sử dụng các hệ thống bảo vệ để chặn các truy cập vào file này.

Hãng Sucuri đã liên hệ và cảnh báo hàng loạt các Web host vốn chứa các trang web nguy hiểm, bao gồm GoDaddy, ClickHost, HostPapa, DreamHost, WPEngine, Pagely, SiteGround, Websynthesis, và Site5.

Cập nhật cài đặt WordPress

WordPress đã ra mắt bản cập nhật 4.2.2 vài ngày trước trước, giải quyết các vấn đề với gói Genericons cũng như vá lại lỗ hổng XSS cho phép hacker can thiệp vào trang web. Các quản trị viên được khuyến cáo cập nhật phiên bản mới nhất cho trang web của mình.