CVE-2023-28121: Lỗ hổng trong plugin WooCommerce Payments

Các nhà phân tích an ninh mạng của nhóm Wordfence Threat Intelligence gần đây đã phát hiện ra lỗ hổng trong plugin WooCommerce Payment có mã CVE-2023-28121

Khai thác lỗ hổng

Các cuộc tấn công lớn khai thác lỗ hổng từ ngày 14 đến ngày 16 tháng 7 năm 2023, với 1,3 triệu cuộc tấn công vào 157.000 trang web vào lúc cao điểm.

Automattic thực thi các bản sửa lỗi bảo mật cho các trang web WordPress, ngăn người dùng từ xa mạo danh quản trị viên và giành toàn quyền kiểm soát. Mặc dù không có hoạt động khai thác nào được báo cáo, nhưng các nhà nghiên cứu đã cảnh báo về việc khai thác trong tương lai do tính chất nghiêm trọng của lỗi.

Các nhà nghiên cứu của Wordfence đã phát hiện ra những kẻ tấn công khai thác lỗ hổng trong plugin WooCommerce Payment bằng cách thêm tiêu đề 'X-WCPAY-PLATFORM-CHECKOUT-USER', cấp toàn quyền kiểm soát các trang web WordPress dễ bị tấn công, như đã được chứng minh thông qua khai thác bằng chứng khái niệm của RCE Security.

Để thực thi mã từ xa trên trang web dễ bị tấn công, kẻ đe dọa sẽ cài đặt plugin WP Console bằng cách khai thác các đặc quyền quản trị.

Một yêu cầu đang cố cài đặt plugin wp-console (Nguồn: Wordfence)

Bảng điều khiển WP sau khi được cài đặt sẽ trao quyền cho các tác nhân đe dọa thực thi mã PHP và triển khai trình tải tệp liên tục lên dưới dạng cửa hậu, duy trì quyền truy cập ngay cả sau khi vá lỗ hổng bảo mật.

Một yêu cầu cố gắng sử dụng plugin wp-console để thực thi mã độc (Nguồn: Wordfence)

Cuộc tấn công này dường như tập trung vào một nhóm trang web nhỏ hơn và các dấu hiệu cảnh báo ban đầu bao gồm sự gia tăng yêu cầu liệt kê plugin tìm kiếm tệp 'readme.txt' trên hàng triệu trang web.

Tổng số yêu cầu theo ngày tìm kiếm tệp readme.txt (Nguồn: Wordfence)

Wordfence quan sát những kẻ tấn công tạo tài khoản quản trị viên bằng mật khẩu ngẫu nhiên bằng cách khai thác và những kẻ đe dọa sẽ quét các trang web dễ bị tấn công bằng cách truy cập vào thư mục sau:

'/wp-content/plugins/woocommerce-payments/readme.txt.' 

Đã phát hiện IP

Ngoài ra, bảy địa chỉ IP đã được các nhà nghiên cứu bảo mật xác định trong các cuộc tấn công.

• 194.169.175.93: 213.212 trang bị tấn công

• 2a10:cc45:100::5474:5a49:bfd6:2007: 90.157 trang bị tấn công

• 103.102.153.17: 27.346 trang bị tấn công

• 79.137.202.106: 14.799 trang bị tấn công

• 193.169.194.63: 14.619 trang bị tấn công

• 79.137.207.224: 14.509 trang bị tấn công

• 193.169.195.64: 13.491 trang bị tấn công

Có hàng nghìn địa chỉ IP được phân phối trong các yêu cầu readme.txt. Tuy nhiên, chỉ có khoảng 5.000 người trong số họ tiến hành các cuộc tấn công thực sự, khiến chúng trở nên kém giá trị hơn đối với quân phòng thủ.

Để giảm thiểu rủi ro do CVE-2023-28121 gây ra, tất cả người dùng plugin WooCommerce Payment nên cập nhật cài đặt của họ ngay lập tức. Ngoài ra, quản trị viên trang web nên quét các tệp PHP lẻ và tài khoản quản trị viên đáng ngờ