Plugin Ultimate Member là một plugin giúp dễ dàng tạo hồ sơ người dùng, trang web thành viên và cộng đồng trực tuyến trên các trang web WordPress.

Với hơn 200.000 lượt cài đặt từ người dùng, các Hacker đã sử dụng lỗ hổng leo thang đặc quyền zero-day trong plugin "Ultimate Member" WordPress để vô hiệu hóa các biện pháp bảo mật và tạo tài khoản quản trị giả mạo. Việc này có thể dẫn đến các trang web WordPress bị hack và có nguy cơ bị chiếm đoạt hoàn toàn. Vậy lỗ hổng zero-day được hiểu như thế nào? Cùng LPTech giải đáp ngay nội dung bên dưới.

Lỗ hổng Zero-Day trong plugin Ultimate Member là gì?

Lỗ hổng có thể khai thác, được xác định là CVE-2023-3460, ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm phiên bản mới nhất, v2.6.6, và có điểm số CVSS v3.1 là 9,8 ("critical").

Mặc dù các nhà phát triển đã cố gắng sửa lỗi nó trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6 nhưng Hacker vẫn còn những cách khác để khai thác vấn đề này.
Các nhà phát triển của Ultimate Member đã tuyên bố rằng họ đang nỗ lực nhiều hơn trong việc sửa chữa vấn đề còn tồn tại và dự kiến sẽ phát hành bản cập nhật mới sớm nhất.

"Một trong những nhà phát triển Ultimate Member đã viết, “Chúng tôi đang làm việc trên các bản sửa lỗi liên quan đến vấn đề này kể từ phiên bản 2.6.3 khi chúng tôi nhận được một báo cáo từ một trong những khách hàng của chúng tôi.

Các phiên bản 2.6.4, 2.6.5 và 2.6.6 đã khắc phục vấn đề này ở một mức độ nào đó, nhưng chúng tôi vẫn đang hợp tác với nhóm WPScan để đạt được kết quả tối ưu. Chúng tôi cũng nhận được báo cáo của họ, đầy đủ với tất cả các thông tin có liên quan.”

"Tất cả các phiên bản cũ đều không an toàn, vì vậy chúng tôi khuyên bạn nên cập nhật trang web của bạn lên 2.6.6 và tiếp tục làm như vậy trong tương lai để tận dụng lợi thế của các cải tiến bảo mật và chức năng mới nhất."

Các chuyên gia bảo mật trang web tại Wordfence đã xác định các cuộc tấn công sử dụng lỗ hổng zero-day này và cảnh báo rằng những kẻ đe dọa có thể sử dụng các biểu mẫu đăng ký của plugin để thiết lập dữ liệu meta của người dùng tùy ý trên tài khoản của họ.

Cụ thể hơn, những kẻ tấn công đã xác định vai trò người dùng của họ là người quản trị trong giá trị meta người dùng "tính năng wp", cho họ quyền truy cập toàn bộ vào trang web có lỗ hổng.

Plugin có một danh sách các "key" mà người dùng không nên nâng cấp. Tuy nhiên, Wordfence tuyên bố rằng thật dễ dàng để vượt qua biện pháp bảo mật này.

Các trang web WordPress đã bị xâm nhập bằng cách sử dụng CVE-2023-3460 trong các cuộc tấn công sẽ có các dấu hiệu sau:

• Sử dụng tên người dùng "wpenginer", "wpadmins", "wpengine backup", "se_brutal" và "segs brutal" trên trang web.
• Nhật ký chứng minh rằng các IP độc hại đã truy cập trang đăng ký Thành viên cuối cùng.
• Bản ghi nhật ký cho thấy truy cập từ các địa chỉ IP 146.70.189.245, 103.187.5.128, 103.30.11.160, 103. 30.11.146, và 172.70.147.176.
• Sự xuất hiện của một tài khoản người dùng với một địa chỉ email liên kết với "exelica.com".
• Các website WordPress bị tấn công bởi phần mềm độc hại hoặc bị tấn công bằng các cuộc tấn công khác có thể khiến website bị mất dữ liệu.

Để bảo vệ website Wordpress của bạn khỏi sự xâm nhập này, bạn nên nâng cấp plugin Ultimate Member lên phiên bản mới nhất vì lỗ hổng nghiêm trọng vẫn còn hiện diện và rất dễ khai thác.

Theo Wordfence, trừ khi vấn đề được giải quyết bởi người bán plugin, xóa plugin là hành động hợp lý duy nhất.

Wordfence tuyên bố rằng ngay cả quy tắc tường lửa mà nó thiết kế để bảo vệ khách hàng của mình khỏi lỗ hổng này cũng không bao gồm tất cả các kịch bản khai thác tiềm năng.

Theo các IoC được chia sẻ ở trên, nếu một trang web được phát hiện đã bị xâm phạm, việc xóa plugin sẽ không đủ để giải quyết mối nguy.

Trong những trường hợp đó, chủ sở hữu trang web phải thực hiện quét phần mềm độc hại kỹ lưỡng để loại bỏ bất kỳ bằng chứng nào về việc hack, bao gồm bất kỳ tài khoản backdoors và quản trị gian lận nào có thể đã được cài đặt.

Nếu bạn phát hiện bất kỳ hoạt động nghi ngờ nào trên website của mình thì nên kiểm tra lại các account người dùng và đăng nhập vào website của mình để xác định xem liệu có bị xâm nhập hay không.

>> Xem thêm: Những lỗi tai hại trong wordpress cần tránh ngay.

Zero-Day là gì?

Đây là một thuật ngữ chung được sử dụng để mô tả các lỗ hổng bảo mật được xác định gần đây mà Hacker có thể áp dụng để tấn công các hệ thống là "ngày không".

Vì người bán hoặc nhà phát triển chỉ nhận thức được khiếm khuyết, họ có "không có ngày" để khắc phục nó, do đó thuật ngữ "ngày không". Hacker lợi dụng các lỗ hổng trước khi các nhà phát triển có cơ hội sửa chữa nó, nó được gọi là tấn công ngày không.

Các thuật ngữ lỗ hổng, khai thác và tấn công thường được sử dụng kết hợp với ngày không, và điều quan trọng là phải biết sự khác biệt giữa chúng:

• Một lỗ hổng phần mềm chưa được sửa chữa bởi nhà cung cấp được gọi là lạm phát zero-day. Vì không có bản vá cho các lỗ hổng zero-day do sự thiếu hiểu biết của các nhà cung cấp, các cuộc tấn công có nhiều khả năng thành công hơn.
• Các Hacker sử dụng một cuộc khai thác zero-day để nhắm mục tiêu vào các hệ thống có lỗ hổng chưa được phát hiện.
• Một cuộc tấn công Zero-Day là khi một hệ thống là bị xâm nhập và một cuộc khai thác 0-day được sử dụng để làm hỏng hệ thống hoặc đánh cắp dữ liệu từ nó.

>> Có thể bạn quan tâm: Ngăn chặn Spammer tấn công và đặt link ẩn trên website như thế nào?

Tại sao không nên sử dụng wordpress?

Việc sử dụng WordPress phụ thuộc vào nhu cầu và mục đích của mỗi người, WordPress là một hệ thống quản lý nội dung (CMS) phổ biến, được sử dụng để tạo và quản lý các trang web và blog. WordPress có nhiều ưu điểm như dễ sử dụng, có nhiều theme, plugin và chủ đề, được cập nhật thường xuyên, hỗ trợ SEO tốt và miễn phí hoặc giá thiết kế rẻ.

Tuy nhiên, như với bất kỳ hệ thống CMS nào khác, WordPress cũng có những hạn chế và nhược điểm. Dưới đây là một số lý do tại sao một số người không nên sử dụng WordPress:

1. Bảo mật: WordPress là một trong những hệ thống CMS phổ biến nhất trên thế giới, do đó nó trở thành mục tiêu của các kẻ tấn công và phần mềm độc hại. Nếu không được quản lý và bảo vệ tốt, trang web WordPress có thể bị tấn công và bị hack.
2. Phát triển web: Nếu bạn muốn tùy chỉnh và phát triển trang web của mình theo cách đặc biệt, WordPress có thể không phù hợp với nhu cầu của bạn vì nó có giới hạn trong việc tùy chỉnh một số tính năng.
3. Hiệu suất: Nếu trang web của bạn có lượng truy cập lớn hoặc cần xử lý nhiều dữ liệu, WordPress có thể không đủ mạnh để xử lý các yêu cầu này.
4. Cập nhật: Nếu bạn không cập nhật các phiên bản WordPress và các plugin thường xuyên, trang web của bạn có thể dễ bị tấn công và bị hack.

Tóm lại, việc sử dụng WordPress hay không phụ thuộc vào nhu cầu và mục đích sử dụng của từng người. Nếu bạn muốn sử dụng WordPress, hãy chắc chắn rằng bạn hiểu rõ các ưu điểm và nhược điểm của nó và có kế hoạch bảo mật và phát triển web phù hợp. Hy vọng thông tin mình vừa chia sẻ sẽ hữu ích cho bạn.