Hơn 8.000 website WordPress đang gặp rủi ro nghiêm trọng

Hàng ngàn trang web sử dụng WordPress hiện vẫn chưa được vá vá bảo mật trước một lỗ hổng nghiêm trọng trong một plugin phổ biến, theo các nhà nghiên cứu an ninh. Lỗ hổng này, được đánh giá độ nghiêm trọng lên đến 9.8 trên thang điểm 10, vẫn tồn tại trên hơn 8.000 trang web. Lỗ hổng, mang mã CVE-2024-11972, nằm trong plugin Hunk Companion, plugin được sử dụng trên khoảng 10.000 trang web thuộc hệ thống quản lý nội dung WordPress. Mặc dù lỗ hổng này đã được sửa chữa gần đây, số liệu từ trang Hunk Companion cho thấy chưa đến 12% người dùng đã cài đặt bản vá, có nghĩa là gần 9.000 trang web có thể trở thành mục tiêu tiếp theo.
“Lỗ hổng này đại diện cho một mối đe dọa đáng kể và đa dạng, nhắm vào các trang web sử dụng cả chủ đề ThemeHunk và plugin Hunk Companion,” Daniel Rodriguez, một nhà nghiên cứu thuộc công ty bảo mật WordPress WP Scan cho biết.
Mới đây, WP Scan đã phát hiện lỗ hổng khi phân tích một trang web của khách hàng bị xâm phạm. Họ nhận thấy rằng vector ban đầu là CVE-2024-11972. Cuộc tấn công này cho phép hacker điều khiển các trang web bị tổn thương tự động chuyển hướng đến wordpress.org và tải xuống plugin WP Query Console, một plugin đã không được cập nhật trong nhiều năm.
Kẻ tấn công đã lợi dụng một lỗ hổng trong plugin đó, được theo dõi là CVE-2024-50498, mang điểm nghiêm trọng là 10 và vẫn chưa được vá. Trang WP Query Scan trên wordpress.org cho hay plugin này đã được tạm ngừng cung cấp từ tháng 10 để chờ xem xét. Tuy nhiên, các hacker vẫn có thể tải xuống plugin WP Query Console nhờ vào một URL đặc biệt từ wordpress.org, điều này đã vượt qua các biện pháp chặn.
Rodriguez cho biết, lỗ hổng bắt nguồn từ một lỗi trong mã của Hunk Companion cho phép các yêu cầu không xác thực vượt qua các kiểm tra dự kiến. Điều này dẫn đến việc “cài đặt và kích hoạt các plugin tùy ý”.
Lỗ hổng Hunk Companion đã được vá trong phiên bản 1.9.0, vừa được phát hành cách đây hai ngày. Các nhà phát triển Hunk Companion cũng đã vá một lỗ hổng tương tự trong phiên bản 1.8.5 trước đó. Lỗ hổng trước đó được theo dõi dưới mã CVE-2024-9707 và cũng có mức độ nghiêm trọng 9.8.
Như đã đề cập trước đó, trang cho plugin này cho biết chỉ có 11.9% trang web sử dụng plugin này đã cài đặt bản cập nhật. Hiện tại chưa rõ liệu URL đặc biệt từ wordpress.org có còn cho phép tải xuống các plugin đã bị chặn hay không. Nếu có, bất kỳ trang web nào chưa được vá vẫn có nguy cơ gặp phải các cuộc tấn công tương tự.
Đại diện của WordPress.org chưa phản hồi ngay lập tức khi được hỏi về lý do tại sao cơ chế vượt chặn lại có sẵn trước đó và liệu nó còn đang tồn tại hay không. Tình hình này đang cho thấy một thực tế đáng lo ngại về mức độ bảo mật của hàng ngàn trang web WordPress và kêu gọi chủ sở hữu các trang này nhanh chóng kiểm tra cũng như cài đặt các bản vá cần thiết trước khi quá muộn.