28/01/2024
PHÂN TÍCH SỰ CỐ: XỬ LÝ WEBSITE BỊ TẤN CÔNG VÀ MÃ ĐỘC GÂY NGUY HIỂM CHO 300,000 TRANG WORDPRESS
Một sự cố bảo mật nghiêm trọng đã được tiết lộ vào ngày 10/01/2024, được xếp hạng độ nguy hiểm 9.8/10, khiến cho kẻ tấn công có thể dễ dàng chiếm quyền quản trị trang web và cài đặt mã độc vào đó. Hãy cùng đi qua quá trình kiểm tra, xử lý, và phát hiện lỗi của chuyên gia Bo Vietnix, và đề nghị kiểm tra ngay trang web của bạn!
I. TÌNH TRẠNG
Trang web vẫn có thể truy cập bình thường.
Truy cập vào wp-admin báo lỗi 403 hoặc nhập mật khẩu sai.
Mật khẩu admin thường xuyên bị thay đổi.
File .htaccess chứa nội dung lạ, hạn chế truy cập vào wp-admin.
Nội dung của file .htaccess tự động được thêm vào sau mỗi lần xóa đi.
II. KIỂM TRA
Kiểm tra checksum của WordPress core cho thấy nhiều file core đã bị thay đổi so với nguồn gốc. Kiểm tra chi tiết cho thấy các file đã bị chèn thêm mã độc. File "wp-login.php" bị sửa đổi để ghi lại tên người dùng/mật khẩu khi đăng nhập tự động.
Các backdoor được chèn vào hàng trăm file khác nhau một cách đa dạng và bạo lực.
Ngoài các shell PHP, còn xuất hiện các shell perl/python và các module để cố gắng tấn công chiếm quyền quản trị.
Tạo thêm người dùng mới với quyền admin.
Mã độc được tự động tạo ra định kỳ, làm cho việc xử lý trở nên rất khó khăn.
III. PHÂN TÍCH & TRUY VẾT
Phân tích log cho thấy kẻ tấn công đã đăng nhập vào admin sau đó tải lên mã độc thông qua phần tải lên plugin.
Truy vết các địa chỉ IP liên quan cho thấy có mối liên hệ với việc gửi POST liên tục vào file XML-RPC => Dự đoán bị tấn công bằng cách thử mật khẩu admin, do đó đã tiến hành thay đổi toàn bộ mật khẩu, kiểm tra email và xoá các tài khoản không cần thiết.
Tuy nhiên, vào ngày hôm sau, kẻ tấn công tiếp tục đăng nhập vào admin một cách nhẹ nhàng (không có dấu hiệu của thử mật khẩu). Điều thú vị bắt đầu từ đây.
Do chuyên gia Bo Vietnix đã xoá sạch các cửa sau và theo dõi chặt chẽ, nên kẻ tấn công không còn có "lối vào phía sau" để truy cập, buộc phải tấn công lại từ đầu. Khi xác định được địa chỉ IP của kẻ tấn công (xem hình - IP ở Đức), đã phân tích toàn bộ hành vi của kẻ tấn công (xem log đính kèm).
Khi xem log, Bo Vietnix phát hiện trước khi tải lên thành công plugin chứa mã độc, kẻ tấn công đã truy cập thành công vào wp-admin. Tuy nhiên, hành động trước đó liên quan đến việc "quên mật khẩu", và trên đó có một đoạn log cực kỳ đáng ngờ "POST /wp-json/post-smtp/v1/connect-app".
Yêu cầu nghiên cứu này cho thấy liên quan đến lỗ hổng bảo mật cực kỳ nguy hiểm vừa được công bố vào ngày 10/01/2024, được gọi là "CVE-2023-6875". Lỗ hổng này cho phép kẻ tấn công dễ dàng chiếm quyền quản trị của trang web, với điểm nguy hiểm gần như tuyệt đối: 9.8/10 và ảnh hưởng đến 300,000 trang web WordPress. Tóm tắt về lỗ hổng này như sau:
"CVE-2023-6875 là một lỗ hổng bảo mật trong plugin POST SMTP Mailer cho WordPress. Lỗ hổng này cho phép kẻ tấn công không được xác thực reset API key được sử dụng để xác thực với mailer và xem nhật ký, bao gồm cả email đặt lại mật khẩu, cho phép chiếm đoạt trang web.
Lỗ hổng này bắt nguồn từ một vấn đề với cách plugin xử lý các tham số access_token và type trong API endpoint. Cụ thể, plugin không kiểm tra chặt chẽ kiểu của các tham số này, cho phép kẻ tấn công truyền các giá trị không mong muốn.
Để khai thác lỗ hổng này, kẻ tấn công cần thực hiện các bước sau:
Tạo một token FCM giả mạo.
Gửi một yêu cầu POST tới endpoint /wp-json/post-smtp/v1/connect-app với token FCM giả mạo.
Gửi một yêu cầu GET tới endpoint /wp-json/post-smtp/v1/get-logs.
Trong yêu cầu GET, đặt tham số access_token thành token FCM giả mạo và tham số type thành log.
Sau khi thực hiện các bước trên, kẻ tấn công sẽ có thể xem tất cả các nhật ký, bao gồm cả email đặt lại mật khẩu. Kẻ tấn công có thể sử dụng thông tin này để đặt lại mật khẩu của người dùng admin và chiếm đoạt trang web."
Lỗ hổng này ảnh hưởng đến phiên bản SMTP Post