Chắc hẳn bất kì ai có kiến thức về xây dựng website đều biết đến WordPress - nền tảng xây dựng website phổ biến nhất hiện nay.
Gần đây, RIPS Technologies đã công bố một lỗ hổng bảo mật nguy hiểm đang tồn tại trong tất cả các phiên bản của WordPress với nguy cơ cho phép tin tặc xóa các tệp tin trên máy chủ và chiếm quyền điều khiển website. Sử dụng hotfix được cung cấp bên dưới để tránh bị tấn công.
Lỗ hổng bảo mật ảnh hưởng tất cả các website WordPress
Lỗ hổng này nằm trong chức năng xóa bài viết của WordPress, tin tặc có thể lợi dụng việc gửi yêu cầu xóa lỗ hổng để chèn vào các đoạn mã độc, từ đó có thể xóa bất cứ tập tin nào trên máy chủ.
Cụ thể, khi thực hiện xóa bài, WordPress sẽ thực hiện xoá cả tập tin thumb tương ứng với bài viết đó nếu tồn tại. Thông tin về tệp tin thumb được gửi lên từ biến post trong gói tin HTTP. Việc xoá tệp tin này không thông qua các bước kiểm tra an ninh. Khi đó, hacker có thể thay đổi giá trị của biến thumb của bài viết để xóa bất cứ tệp tin nào. Dưới đây là video demo lỗ hổng mà các chuyên gia bảo mật tại CyStack đã thực hiện. (Trong video này, các chuyên gia đã thực hiện xóa tệp tin cấu hình wp-config.php của website WordPress phiên bản 4.9.6 khiến cho website quay về trạng thái cài đặt ban đầu).
Gần đây, RIPS Technologies đã công bố một lỗ hổng bảo mật nguy hiểm đang tồn tại trong tất cả các phiên bản của WordPress với nguy cơ cho phép tin tặc xóa các tệp tin trên máy chủ và chiếm quyền điều khiển website. Sử dụng hotfix được cung cấp bên dưới để tránh bị tấn công.
Lỗ hổng bảo mật ảnh hưởng tất cả các website WordPress
Lỗ hổng này nằm trong chức năng xóa bài viết của WordPress, tin tặc có thể lợi dụng việc gửi yêu cầu xóa lỗ hổng để chèn vào các đoạn mã độc, từ đó có thể xóa bất cứ tập tin nào trên máy chủ.
Cụ thể, khi thực hiện xóa bài, WordPress sẽ thực hiện xoá cả tập tin thumb tương ứng với bài viết đó nếu tồn tại. Thông tin về tệp tin thumb được gửi lên từ biến post trong gói tin HTTP. Việc xoá tệp tin này không thông qua các bước kiểm tra an ninh. Khi đó, hacker có thể thay đổi giá trị của biến thumb của bài viết để xóa bất cứ tệp tin nào. Dưới đây là video demo lỗ hổng mà các chuyên gia bảo mật tại CyStack đã thực hiện. (Trong video này, các chuyên gia đã thực hiện xóa tệp tin cấu hình wp-config.php của website WordPress phiên bản 4.9.6 khiến cho website quay về trạng thái cài đặt ban đầu).
Các tệp tin bị xoá có thể là bất kỳ tập tin nào trên thư mực hosting của website, bao gồm cả những tệp quan trọng như .htaccess (chứa một số thông số bảo mật), index.php, wp-config.php (tệp tin cấu hình của website). Việc này có thể gây ra những thiệt hại vô cùng lớn cho các website và có thể khiển chủ nhân website mất dữ liệu vĩnh viễn nếu không được sao lưu. Khai thác lỗ hổng này tin tặc thực hiện thêm nhiều chiêu thức tấn công khác, kể cả tạo tài khoản quản trị mới để chiếm quyền điều hành.
Chưa có bản vá chính thức cho lỗ hổng
Hiện tại, WordPress chưa tung ra bất cứ bản vá nào cho lỗ hổng này, phiên bản mới nhất của WordPress là 4.9.6 đang tồn tại lỗ hổng bảo mật này. Ngay lúc này, để tránh phải trở thành nạn nhân và thiệt hại cho các website. Công ty an ninh mạng CyStack cảnh báo đến các quản trị viên của các trang web cần thực hiện các biện pháp vá nóng cho lỗ hổng.
Hướng dẫn khắc phục
Hiện nay, chưa có cách khắc phục triệt để cho lỗ hổng này. Các quản trị viên và chủ nhân của website có thể phòng tránh thiệt hại tạm thời bằng các phương án sau đây:
- Rà soát lại danh sách người dùng và các quản trị viên của website, đặc biệt là những người có chức năng đăng bài lên website. Chỉ nên giữ lại các tài khoản thực sự tin tưởng.
- Thực hiện backup toàn bộ dữ liệu của website để tránh trường hợp bị tin tặc tấn công, phá hoại.
- Áp dụng bản Hotfix đã được các nhà nghiên cứu đưa ra bằng việc lập trình thêm một hàm “filter hook” để ngăn chặn việc xóa tệp tin từ người dùng, xem thêm hướng dẫn tại đây.
