Vừa qua 2 công ty cung cấp các plugin tường lửa cho các site WordPress đã phát hiện ra một lỗ hổng zero-day trên 1 plugin rất phổ biến.
Ít nhất hai nhóm tin tặc đã phát hiện ra lỗi zero-day để thay đổi cài đặt site, và tạo ra các tài khoản admin giả. Từ đó lạm dụng backdoor này để chiếm quyền điều khiển lưu lượng truy cập từ các trang web bị tấn công.

Plugin bị phát hiện ra lỗi là Easy WP SMTP. Đây là một plugin rất phổ biến với hơn 300.000 lượt cài đặt. Chức năng chính của plugin này là để giúp chủ site cấu hình SMTP để gửi mail.

Các cuộc tấn công lợi dụng lỗ hổng này được phát hiện lần đầu tiên vào thứ 6 ngày 15/03/2019. Công ty phát hiện ra là NinTechNet, chủ nhân của plugin Ninja Firewall for WordPress.

Sau đó lỗi này đã được thông báo cho tác giả plugin và họ đã tung ra bản vá một ngày sau đó. Tuy nhiên. những kẻ tấn công hiện vẫn tiếp tục tìm kiếm và tấn công các trang web càng nhiều càng tốt, trước khi chủ site cập nhật bản vá lỗi.

Vì vậy nếu các bạn đang dùng plugin này, hãy cập nhật càng sớm càng tốt.

Hackers đã tìm ra lỗ hổng như thế nào

Defiant, công ty cung cấp plugin bảo mật Wordfence cho rằng các cuộc tấn công vẫn diễn ra mặc dù đã có bản vá lỗi. Trong thông báo của mình, Wordfence đã tìm ra cách thức hoạt động của các hackers.

Theo Defiant, những kẻ tấn công đã khai thác tính năng export/import setting trên plugin Easy WP SMTP vừa mới được thêm trên phiên bản 1.3.9. Defiant nói rằng hacker đã tìm thấy 1 chức năng bên trong tính năng mới này cho phép chúng chỉnh sửa phần setting của cả website.

Hacker hiện đang scan các website sử dụng plugin này rồi chỉnh lại phần setting cho phép đăng ký thêm tài khoản mới. Tính năng này thường được khá nhiều chủ site tắt đi vì lý do an ninh. Sau đó chúng sẽ tạo tài khoản mới (tài khoản subscriber), tiếp theo là set luôn quyền admin cho tài khoản này. Thậm chí trong các cuộc tấn công tiếp theo, hacker còn thiết lập cho toàn bộ tài khoản đăng ký mới đều có được quyền quản trị.

Điều này có nghĩa là gì? Đơn giản nó có nghĩa là bất kỳ ai cũng có thể trở thành admin của website bạn và làm gì tùy thích. Quá nguy hiểm đúng không nào.

Trong 2 nhóm hacker sử dụng phương pháp này, một nhóm sẽ tạo tài khoản admin backdoor rồi để yên đó, tạm thời chưa làm gì cả. Nhóm còn lại thì điều hướng truy cập tới các trang web độc hại, chủ yếu là các trang lừa đảo.

Cách sửa lỗi trên các trang nhiễm mã độc

Tất cả các website đang sử dụng plugin Easy WP SMTP phải update lên bản mới nhất version 1.3.9.1. Hãy kiểm tra cập nhật plugin ngay nhé. Nếu có bản mới hơn thì cập nhật luôn.

Nếu bạn không có nhu cầu quá cấp thiết trong việc gửi mail qua SMTP, có thể tạm thời tắt hoặc remove plugin này, đợi qua bão rồi tính tiếp. Hoặc có thể dùng các plugin tương tự (có thể dùng WP mail SMTP cũng được).

Sau khi update, nên kiểm tra lại tất cả các tài khoản vừa đăng ký gần đây, xem thử có tài khoản nào khả nghi không. Xóa ngay lập tức các tài khoản có quyền admin mà không phải của mình.

Nếu đang dùng VPS hãy delete VPS cũ, tạo lại cái mới. Sau đó restore bản backup gần nhất vào VPS mới.