Cảnh báo lỗ hổng mới rất nguy hiểm trong WordPress ảnh hưởng hàng nghìn website của Việt Nam

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Một lỗ hổng nguy hiểm trong wordpress vừa được phát hiện có thể giúp hacker dễ dàng tải về toàn bộ mã nguồn của website.

Cảnh báo lỗ hổng rất nguy hiểm trong WordPress

Lỗ hổng nằm trong việc xử lý action: wp_ajax_revslider_show_image trong core wp-admin/admin-ajax.php của WordPress.

POC: http://victim/wp-admin/admin-ajax.php?action=revslider_show_image&img=

Các website sẽ bị tấn công nếu sử dụng các plugin hay theme có thao tác với action này. Lợi dụng lỗ hổng hacker có thể tải về toàn bộ mã nguồn của website, các tập tin cấu hình hệ thống. Hacker có thể lợi dụng các thông tin cấu hình để truy cập trực tiếp vào cơ sở dữ liệu của website, tải lên các webshell, backdoor.

>> Plugin bảo mật WordPress tốt nhất

Khắc phục & rà soát hệ thống

Để khắc phục lỗ hổng nghiêm trọng này các quản trị nên cập nhật lên phiên bản mới nhất của WordPress là 3.9.2 và vô hiệu hóa các plugin, theme sau nếu đang sử dụng:

  • Revolution Slider Plugin
  • CuckooTap Theme
  • IncredibleWP Theme
  • WordPress Ultimatum Theme
  • WordPress Ultimatum Theme
  • WordPress Ultimatum Theme
  • WordPress Avada Theme
  • WordPress Striking Theme & E-Commerce
  • WordPress Striking Theme & E-Commerce

Ngoài ra các nhà phát triển web có thể vá trực tiếp lỗ hổng này bằng việc thêm add_action để kiểm tra kỹ biến GET[“img”], cụ thể như sau:

function fixRevsliderExploit(){
        if(substr_compare($_GET["img"], ".php", -4, 4) === 0){
                die("Nice try, getting the wp-config c:");
        }
}
add_action('wp_ajax_revslider_show_image', fixRevsliderExploit(), -1);
// Chi tiết: http://pastebin.com/k07msTHw

Gần 1000 websites của Việt Nam đang tồn tại lỗ hổng

Theo thống kê từ SecurityDaily hiện tại còn gần 1000 (Gồm 2 website .gov.vn và 2 site .edu.vn) websites của Việt Nam đang sử dụng wordpress và tồn tại lỗ hổng này.

Rất nhiều websites đã bị hacker tấn công và để lại các backdoor (cửa hậu) trên hệ thống. Để tránh việc website có thể tiếp tục bị tấn công, SecurityDaily khuyến cáo các quản trị website nên kiểm tra, rà soát backdoor trên các thư mục, tập tin của website.

Tham khảo thêm bài viết về Kinh nghiệm tìm kiếm WebShell trong mã nguồn

Để hỗ trợ các quản trị kiểm tra nhanh hệ thống website, SecurityDaily xây dựng công cụ kiểm tra lỗ hổng trực tuyến. Bạn có thể kiểm tra website của mình bằng cách nhập tên miền website vào ô bên dưới  hoặc truy cập trực tiếp vào website .

SecurityDaily xin gửi lời cảm ơn tới Ghost Team VN và bạn Minh Tuấn đã gửi cảnh báo lỗ hổng này tới chúng tôi.

Phần 2: Lỗ hổng WordPress ảnh hưởng hơn 400.000 websites trên thế giới