[Cảnh Báo] Các website mua sắm trên nền WordPress đang là mục tiêu của các cuộc tấn công mạng

Theo Defiant - công ty cung cấp plugin Wordfence - một plugin tường lửa cho các website WordPress, cho biết các website mua sắm sử dụng WordPress đang là mục tiêu của các các tin tặc.

Các website mua sắm trên nền WordPress đang là mục tiêu của các cuộc tấn công mạng - CyberSec365.org

Theo đó, mục tiêu lần này của tin tặc là các website WordPress sử dụng Plugin "Abandoned Cart Lite for WooCommerce", một plugin đang được sử dụng hơn 20.000 website WordPress.

Phương thức hoạt động của lỗ hổng

Những cuộc tấn công này là một trong những trường hợp hiếm hoi mà lỗ hổng cross-site scripting (XSS) thường là vô hại có thể thực sự dẫn đến các hậu quả nghiêm trọng. Lỗ hổng XSS hiếm khi được sử dụng để tấn công theo cách nguy hiểm như vậy.

Các cuộc tấn công này xảy ra do chế độ hoạt động của plugin và lỗ hổng, cả hai đều kết hợp để tạo ra cơn phương thức tấn công hoàn hảo.

Plugin, đúng như tên gọi của nó, cho phép quản trị viên trang web xem các giỏ hàng bị bỏ quên - những sản phẩm mà người dùng đã thêm vào giỏ hàng trước khi họ đột ngột rời khỏi trang web. Chủ sở hữu trang web sử dụng plugin này để suy ra danh sách các sản phẩm có khả năng phổ biến mà cửa hàng có thể muốn có trong kho trong tương lai.

Các danh sách giỏ hàng bị bỏ quên này chỉ có thể truy cập được trong phần phụ trợ của trang web WordPress và thường chỉ dành cho quản trị viên hoặc người dùng khác có tài khoản đặc quyền cao.

Tin tặc khai thác lỗ hổng này như thế nào?

Theo báo cáo từ nhà nghiên cứu bảo mật Defiant Mikey Veenstra, tin tặc đang tự động hóa các hoạt động chống lại các cửa hàng dựa trên WordPress WooCommerce để tạo ra các giỏ hàng có chứa các sản phẩm có tên không đúng.

Chúng thêm mã khai thác vào một trong các trường của giỏ mua hàng, sau đó rời khỏi trang web, một hành động đảm bảo mã khai thác được lưu trữ trong cơ sở dữ liệu của cửa hàng.

Khi quản trị viên truy cập vào phụ trợ của cửa hàng để xem danh sách các giỏ hàng bị bỏ rơi, mã khai thác của tin tặc được thực thi ngay khi một trang phụ trợ cụ thể được tải trên màn hình của người dùng.

Veenstra nói rằng Wordfence đã phát hiện một số nỗ lực khai thác sử dụng kỹ thuật này trong vài tuần qua.

Các cuộc tấn công được phát hiện khai thác đã sử dụng tệp JavaScript từ liên kết bit.ly. Mã này đã cố gắng lây nhiễm hai backdoors khác nhau trên các trang web chạy plugin dễ bị tấn công.

Backdoor đầu tiên có dạng tài khoản quản trị viên mới mà tin tặc tạo ra trên trang web. Người dùng quản trị viên mới này được đặt tên là "woouser", được đăng ký với địa chỉ email "woouser401a@mailinator.com" và sử dụng mật khẩu "K1YPRka7b0av1B".

Cửa hậu thứ hai rất thông minh, và là một kỹ thuật hiếm thấy. Veenstra cho biết mã độc liệt kê tất cả các plugin của trang web và tìm kiếm plugin đầu tiên đã bị vô hiệu hóa bởi quản trị viên trang web. Tin tặc không kích hoạt lại nó, nhưng thay vào đó, chúng thay thế nội dung của tệp chính của nó bằng một tập lệnh độc hại hoạt động như một cửa hậu để truy cập trong tương lai. Plugin sẽ vẫn bị vô hiệu hóa, nhưng vì các tệp của nó vẫn còn trên đĩa và có thể truy cập theo yêu cầu web, tin tặc có thể gửi hướng dẫn độc hại đến cửa sau thứ hai này trong trường hợp chủ sở hữu trang web xóa tài khoản "woouser".

Các website mua sắm trên nền WordPress đang là mục tiêu của các cuộc tấn công mạng - CyberSec365.org

Liên kết bit.ly được sử dụng cho chiến dịch này đã được truy cập hơn 5.200 lần, cho thấy số lượng trang web bị nhiễm rất có thể trong hàng ngàn.

"The Bit.ly stats can be misleading because one infected site can source that link several times if the XSS payload stays in the abandoned cart dashboard and the admin frequents it," Veenstra told ZDNet in an interview.

Hiện tại, Veenstra và các nhân viên khác của Defiant không thể nói chắc chắn những gì tin tặc đang cố gắng đạt được bằng cách tấn công vào tất cả các giỏ hàng này.

"Chúng tôi không có nhiều dữ liệu về việc khai thác thành công vì WAF của chúng tôi đã ngăn bất kỳ người dùng tích cực nào của chúng tôi khỏi bị xâm phạm", Veenstra nói.

Tin tặc có thể đang sử dụng các trang web này cho bất cứ điều gì, từ spam SEO đến skimmer thẻ.

Plugin "Abandoned Cart Lite for WooCommerce" đã được phát hành bản sửa lỗi 5.2.0vào ngày 18 tháng 2.

Chủ sở hữu trang web mua sắm WordPress sử dụng plugin nên cập nhật trang web của họ và xem lại danh sách tài khoản quản trị viên của bảng điều khiển của họ để biết các mục đáng ngờ. "Woouser" có thể không có mặt, nhưng tin tặc cũng có thể đã thay đổi nó thành một thứ khác.

Nguồn: ZDNet