Phát hiện lỗ hổng bảo mật Plugin Contact Form 7 -5.3.1 trên hơn 5 triệu trang web.

Tác giả : Thanh Dương 25/12/2020
428

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trên Plugin Contact Form 7 phiên bản 5.3.1 bởi các chuyên gia bảo mật tại Getastra vào trung tuần tháng 12/2020.

lo-hong-bao-mat-plugin-contact-form-7-5-3-1-1

Contact Form 7 phiên bản 5.3.1 để lại một nguy cơ lớn cho máy chủ khi có thể dễ dàng cho phép những kẻ tấn công tải lên những tệp tùy ý, độc hại.

Liên quan: Ransomware đang phát triển chóng mặt nhưng công nghệ ngăn chặn vẫn ở thời đồ đá.

Thông qua những tệp dữ liệu tùy chỉnh này, tin tặc có thể chiếm quyền sở hữu website hoặc giả mạo, chỉnh sửa các tệp cơ sở dữ liệu quan trọng.

Lỗ hổng bảo mật Contact Form 7 này được các chuyên gia tại Getastra đặt tên là ID CVE: CVE-2020-35489. Nó có thể ảnh hưởng nghiêm trọng tới hơn 5 triệu trang web đang sử dụng CMS trên nền tảng WordPress.

Theo Getastra, một nhóm chuyên gia dẫn đầu bởi Jinson Varghese đã tìm hiểu và phát hiện ra lỗ hổng bảo mật này, nó cho phép những kẻ tấn công tải lên mọi tệp chúng muốn không hạn chế, những tệp này có thể sẽ được cài đặt thêm các mã độc hại chẳng hạn như web shell.

Tiếp theo, những kẻ tấn công có thể chuyển hướng website đã chiếm đoạt, sau đó chuyển hướng khách truy cập tới một trang web của bên thứ ba nhằm lừa khách truy cập chuyển giao thông tin tài chính và cá nhân.

Liên quan: Tăng tốc website WordPress với Plugin Cloudflare APO.

Ngoài việc chiếm đoạt trang web được nhắm tới, kẻ tấn công cũng có thể điều khiển máy chủ lưu trữ trang web nếu không có công cụ bảo mật nào được sử dụng để ngăn cách các trang web trên máy chủ lưu trữ phiên bản WordPres.

Nhà tiếp thị kỹ thuật số và hacker tăng trưởng (Growth hacking) của Astra – Naman Rastogi, đã thông tin tới Threatpost “Nó có thể dễ dàng khai thác. Kẻ tấn công sẽ không cần phải xác thực và cuộc tấn công có thể được thực hiện từ xa“.

Những lỗ hổng bảo mật trên Plugin Contact Form 7 sẽ được kẻ xấu khai thác tại các phiên bản 5.3.1 và các phiên bản thấp hơn.

Liên quan: Google Site Kit – Đưa trọn bộ công cụ hỗ trợ của Google vào WordPress.

Ngay sau khi phát hiện ra vấn đề bảo mật nghiêm trọng của Contact Form 7, các chuyên gia đã đã liên hệ với các nhà phát triển Plugin Contact Form 7 thông qua diễn đàn hỗ trợ vào ngày 16/12/2020.

Đến ngày 17/12/2020, các nhà phát triển của Contact Form 7 đã tiếp nhận được thông tin và ngay lập tức một phiên bản vá lỗi đã được phát hành.

Hiện người dùng đã có thể nâng cấp Plugin lên phiên bản Contact Form 7 5.3.2.

Quy trình phát hiện và vá lỗi Contact Form 7 5.3.1.

  • Ngày 16 tháng 12 năm 2020 – Phát hiện ban đầu về lỗ hổng “Tải lên tệp không hạn chế”.
  • Ngày 16 tháng 12 năm 2020 – Các chuyên gia nghiên cứu Bảo mật Astra đã liên hệ với các nhà phát triển plugin và nhận được xác nhận.
  • Ngày 17 tháng 12 năm 2020 – Getastra gửi đầy đủ chi tiết tiết lộ về lỗ hổng cho nhóm Contact Form 7.
  • Ngày 17 tháng 12 năm 2020 – Sau khi sửa chữa lỗ hổng bảo mật, bản vá lỗi chua hoàn thiện được phát hành.
  • Ngày 17 tháng 12 năm 2020 – Getastra đã cung cấp thêm chi tiết về lỗ hổng cho các nhà phát triển plugin.
  • Ngày 17 tháng 12 năm 2020 – Bản vá đầy đủ cuối cùng được phát hành trong phiên bản plugin 5.3.2.

Trên trang chủ của Contact Form 7, các nhà phát triển cũng đã khuyến cáo người dùng “Mẫu liên hệ 7 5.3.2 đã được phát hành. Đây là bản phát hành bảo mật và bảo trì khẩn cấp. Chúng tôi đặc biệt khuyến khích bạn cập nhật nó ngay lập tức“.

lo-hong-bao-mat-plugin-contact-form-7-5-3-1
Khuyến cáo từ nhà phát triển Plugin Contact Form 7.

Còn chờ gì nữa, nếu website của bạn đang sử dụng Plugin Contact Form 7 với các phiên bản từ 5.3.1 trở về trước hãy nhanh tay nâng cấp nó ngay bây giờ.

Nhật Minh theo Getastra.com

Bảo mật Contact Form 7 Hacker Plugin Wordpress

Tin liên quan