Tấn công thực thi mã PHP đe dọa các website WordPress

09:00 | 24/08/2018 | LỖ HỔNG ATTT

Tấn công này không chỉ gây ảnh hưởng tới hệ quản trị nội dung Typo3, WordPress mà còn ảnh hưởng tới thư viện TCPDF được sử dụng rộng rãi hiện nay.

Tấn công thực thi mã PHP đe dọa các website WordPress

Các nhà nghiên cứu tại Công ty An an ninh mạng Secarma (Anh) đã phát hiện ra một bằng chứng khai thác (proof-of-concept exploit) giúp kẻ tấn công có thể khai thác lỗ hổng website dựa vào quá trình giải tuần tự hóa trong ngôn ngữ lập trình PHP, sử dụng các hàm được xem là ít rủi ro.

Lỗ hổng PHP không tuần tự hóa và PHP object injection được ghi nhận lần đầu vào năm 2009, cho phép kẻ tấn công thực hiện nhiều loại tấn công bằng cách thêm dữ liệu đầu vào độc hại vào các hàm PHP unserialize(). Tuần tự hóa là quá trình chuyển hóa dữ liệu trở thành dạng plain string, ngược lại không tuần tự hóa là quá trình giúp tái tạo một dữ liệu từ string đó.

Đối với lỗ hổng này, nó bắt nguồn từ những hành vi của trình bao bọc luồng “phar://” được tích hợp sẵn của PHP, giúp triển khai chức năng xử lý tệp phức tạp cho các giao thức kiểu URL khác nhau. Tức là, một kẻ tấn công có thể lợi dụng những hàm rủi ro thấp để tấn công các tệp lưu trữ phar mà không cần dùng hàm unserialize().

Thông thường, các tệp định dạng lưu trữ phar trong PHP lưu trữ siêu dữ liệu theo định dạng được tuần tự hóa, những dữ liệu này sẽ không được tuần tự hóa nếu một phép toán của tệp (fopen, file_exists, file_get_contents,...) muốn truy cập tệp.

Để khai thác lỗ hổng, kẻ tấn công chỉ cần tải một tệp lưu trữ phar độc hại lên hệ thống tệp trong máy của đối tượng và khiến cho phép toán của tệp truy cập vào đó, sử dụng stream wrapper “phar://”.

Điều này được kích hoạt thông qua một loạt những sai sót được xem là có nguy cơ thấp, chẳng hạn như lỗ hổng xử lý XML External Entity (XXE). Những lỗ hổng này là lỗ hổng bảo mật yêu cầu phía máy chủ (SSRF) cho phép kẻ tấn công có thể gây ra tấn công từ chối dịch vụ (DoS) và sau đó truy cập các tệp, dịch vụ cục bộ hoặc từ xa, bằng cách lợi dụng tính năng có sẵn rộng rãi nhưng hiếm khi được sử dụng trong các trình phân tích cú pháp XML.

Ngoài ra, kẻ tấn công còn có thể dùng tệp tin hình ảnh .jpeg được chuyển hóa từ một tệp tin lưu trữ phar bằng cách thay đổi 100 byte đầu tiên của file. Một khi hình hiển thị (thumbnail) được tải lên máy chủ WordPress, kẻ tấn công có thể sử dụng các hàm khác để biến tệp tin hình ảnh đã tải lên thành file lưu trữ phar. Sau đó, thực thi mã tùy ý khi chương trình giải tuần tự hóa siêu dữ liệu.

Các nhà nghiên cứu cho biết, vấn đề này đã được báo cáo cho đội ngũ phát triển của WordPress vào tháng 2/2017. Tuy nhiên, tại thời điểm hiện tại, lỗ hổng này vẫn chưa được khắc phục triệt để. Ngày 9/6, sau khi được báo cáo lỗ hổng, các nhà phát triển của Typo3 đã cung cấp bản vá cho các phiên bản 7.6.30, 8.7.17 và 9.3.

Thu Hằng (Theo Threatpost)

‹ › ×

Tin liên quan

Lỗ hổng trên WordPress cho phép chiếm quyền điều khiển website

16:00 | 18/07/2018

Một lỗ hổng trên WordPress vừa được công bố, cho phép tin tặc xóa tập tin và thực thi mã tùy ý trên website.

Phát hiện xâm nhập website dựa trên cây quyết định và bộ dữ liệu huấn luyện IDS2021-WEB (Phần II)

17:00 | 18/01/2023

Phần I của bài báo, nhóm tác giả đã trình bày cách thức xây dựng bộ dữ liệu IDS2021-WEB. Tại phần II này, nhóm tác giả sẽ trình bày cách thức sử dụng thuật toán Cây quyết định (Decision Tree - DT) trong mô hình xây dựng hệ thống phát hiện xâm nhập ứng dụng website dựa trên bộ dữ liệu IDS2021-WEB. Đánh giá hiệu quả của thuật toán DT với một số thuật toán phổ biến khác và đề xuất mô hình tổng thể trong xây dựng hệ thống phát hiện xâm nhập cho ứng dụng website.

Cẩn trọng với website giả mạo mua vé bóng đá VFF

09:00 | 18/12/2018

Trang chủ của VFF có thể đã bị tin tặc tấn công trước thời điểm bán vé

Hơn 2.000 trang web WordPress bị nhiễm Keylogger

09:00 | 01/02/2018

Hơn 2.000 trang web WordPress đã một lần nữa bị phát hiện có chứa một phần của phần mềm độc hại khai thác mật mã, không chỉ đánh cắp tài nguyên máy tính của khách truy cập vào các đồng tiền kỹ thuật số mà còn ghi lại mọi thao tác phím của khách truy cập.

Phát hiện lỗ hổng nghiêm trọng trong plugin WordPress của 400.000 website

22:00 | 26/01/2020

Mới đây, các lỗ hổng nghiêm trọng trong 3 plugin WordPress đã được các chuyên gia phát hiện. Các plugin này bao gồm InfiniteWP, WP Time Capsule và WP Database Reset đã được cài đặt trên tổng cộng 400.000 website.

Hơn 600.000 trang web WordPress tồn tại lỗ hổng Blind SQL Injection

14:00 | 03/06/2021

Các nhà nghiên cứu từ Wordfence Threat Intelligence đã phát hiện ra lỗ hổng Time-Based Blind SQL Injection trong WP Statistics được cài đặt trên 600.000 trang web WordPress.

300.000 trang web cài đặt WordPress có thể bị tấn công nếu không cập nhật

09:18 | 10/07/2017

Mới đây, một lỗ hổng bảo mật đã được phát hiện trong plugin WP Statistics trên nền tảng CMS WordPress, theo thống kê có khoảng 300.000 trang web đang cài đặt plugin này.

Gần 1 triệu website WordPress bị nhắm mục tiêu trong một chiến dịch tấn công lớn

10:00 | 11/05/2020

Theo thông tin từ ESET, một tác nhân độc hại chưa được xác định đang tiến hành khai thác lỗ hổng trong các plugin đã được vá vài tháng, hoặc thậm chí vài năm trước trên nền tảng WordPress trong thời gian gần đây.

Phát hiện nền tảng WordPress bị khai thác tấn công lừa đảo

16:00 | 18/04/2019

Vượt qua cơ chế bảo vệ của Wordfence (tường lửa của WordPress), các tin tặc có thể thực hiện tấn công thay đổi giao diện, chuyển hướng truy cập tới website độc hại nhằm mục tiêu lừa đảo người dùng.

Tin cùng chuyên mục

Hơn 4.000 website bán hàng trực tuyến sử dụng Adobe Commerce, Magento là mục tiêu của các cuộc tấn công mạng

17:00 | 10/10/2024

Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.

Công ty cung cấp dịch vụ chuyển tiền và thanh toán quốc tế MoneyGram bị tấn công mạng

10:00 | 01/10/2024

MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.

Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

14:00 | 11/09/2024

Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.

Website Chính phủ Pháp bị tấn công mạng

16:00 | 31/08/2024

Theo Entropia Intel, từ ngày 26/8, loạt trang web liên quan đến chính phủ Pháp đã ngừng hoạt động do bị tấn công từ chối dịch vụ (DDoS). Sự việc diễn ra sau khi Pháp bắt CEO Telegram Pavel Durov hôm 24/8.