Plugin OptinMonste WordPress ảnh hưởng đến 1 triệu trang web, cho phép chuyển hướng độc hại

wordpress

Plugin OptinMonster bị ảnh hưởng bởi một lỗ hổng nghiêm trọng cao cho phép truy cập API trái phép và tiết lộ thông tin nhạy cảm trên khoảng hơn một triệu trang web WordPress.

Được theo dõi là CVE-2021-39341, lỗ hổng được nhà nghiên cứu Chloe Chamberland phát hiện vào ngày 28 tháng 9 năm 2021, với một bản vá sẽ có sẵn vào ngày 7 tháng 10 năm 2021.

Tất cả người dùng plugin OptinMonster nên nâng cấp lên phiên bản 2.6.5 trở lên, vì tất cả các phiên bản trước đó đều bị ảnh hưởng.

Sự cố API

OptinMonster là một trong những plugin WordPress phổ biến nhất được sử dụng để tạo các biểu mẫu chọn tham gia đẹp mắt giúp chủ sở hữu trang web chuyển đổi khách truy cập thành người đăng ký / khách hàng.

Về cơ bản, nó là một công cụ kiếm tiền và tạo khách hàng tiềm năng, và nhờ tính dễ sử dụng và nhiều tính năng, nó được triển khai trên khoảng một triệu trang web.

Như Chamberland giải thích trong báo cáo tiết lộ lỗ hổng bảo mật của mình  , sức mạnh của OptinMonster dựa vào các điểm cuối API cho phép tích hợp liền mạch và quy trình thiết kế hợp lý.

Tuy nhiên, việc triển khai các điểm cuối này không phải lúc nào cũng an toàn và ví dụ quan trọng nhất liên quan đến điểm cuối ‘/ wp-json / omapp / v1 / support’.

Điểm cuối này có thể tiết lộ dữ liệu như đường dẫn đầy đủ của trang web trên máy chủ, các khóa API được sử dụng cho các yêu cầu trên trang web, v.v.

Kẻ tấn công nắm giữ khóa API có thể thực hiện các thay đổi trên tài khoản OptinMonster hoặc thậm chí trồng các đoạn mã JavaScript độc hại trên trang web.

Trang web sẽ thực thi mã này mỗi khi một phần tử OptinMonster được kích hoạt bởi khách truy cập mà không ai biết.

Để làm cho vấn đề tồi tệ hơn, kẻ tấn công thậm chí sẽ không phải xác thực trên trang web được nhắm mục tiêu để truy cập vào điểm cuối API, vì một yêu cầu HTTP sẽ bỏ qua các kiểm tra bảo mật theo một số điều kiện nhất định, dễ đáp ứng.

Yêu cầu đến điểm cuối API dễ bị tấn công
Yêu cầu đối với điểm cuối API dễ bị tấn công
Nguồn: Wordfence

Trong khi trường hợp của điểm cuối ‘/ wp-json / omapp / v1 / support’ thì tệ hơn, nó không phải là điểm cuối REST-API không an toàn duy nhất dễ bị khai thác.

Sau khi báo cáo của nhà nghiên cứu đến được với nhóm OptinMonster, các nhà phát triển của plugin WordPress phổ biến nhận ra rằng toàn bộ API cần được xem lại.

Do đó, bạn phải cài đặt bất kỳ bản cập nhật OptinMonster nào trên trang tổng quan WordPress của bạn trong những tuần tiếp theo, vì những bản cập nhật này có thể sẽ giải quyết các lỗi API bổ sung.

Trong thời gian chờ đợi, tất cả các khóa API có thể bị đánh cắp sẽ bị vô hiệu ngay lập tức và chủ sở hữu trang web buộc phải tạo khóa mới.

Trường hợp này nhấn mạnh rằng ngay cả các plugin WordPress được triển khai rộng rãi và cực kỳ phổ biến cũng có thể mang nhiều lỗi chưa được phát hiện trong thời gian dài.

Nếu bạn là chủ sở hữu trang web, hãy cố gắng sử dụng số lượng plugin tối thiểu để đáp ứng các chức năng và khả năng sử dụng cần thiết và áp dụng các bản cập nhật plugin càng sớm càng tốt.

Leave a Reply